Dos grupos de hacking vinculados a China han sido detectados weaponizando la vulnerabilidad recién divulgada en los Componentes de Servidor de React (RSC), conocida como React2Shell. La explotación se observó pocas horas después de que se hiciera pública la existencia de la falla, lo que subraya la rapidez con la que los actores de amenazas integran nuevos exploits en sus campañas.
La Vulnerabilidad React2Shell (CVE-2025-55182)
La vulnerabilidad en cuestión es CVE-2025-55182, que ha recibido una puntuación CVSS de 10.0, lo que indica su máxima severidad. Esta falla permite la ejecución remota de código (RCE) no autenticada.
- Impacto: Permite a un atacante ejecutar código arbitrario sin necesidad de autenticación previa.
- Mitigación: La vulnerabilidad ha sido corregida en las versiones de React 19.0.1, 19.1.2 y 19.2.1.
Actores de Amenazas Vinculados a China
Según un informe de Amazon Web Services (AWS), la actividad de explotación de CVE-2025-55182 se detectó en la infraestructura de honeypot AWS MadPot, identificando intentos de explotación provenientes de direcciones IP vinculadas históricamente a actores de amenazas con nexos estatales chinos. Los grupos específicos identificados son Earth Lamia y Jackpot Panda.
Earth Lamia
Earth Lamia es un grupo de amenazas vinculado a China que ha sido previamente asociado con ataques de explotación de otras vulnerabilidades críticas, como una falla en SAP NetWeaver (CVE-2025-31324) a principios de este año.
- Sectores Afectados: Servicios financieros, logística, comercio minorista, empresas de TI, universidades y organizaciones gubernamentales.
- Regiones Objetivo: América Latina, Oriente Medio y el Sudeste Asiático.
Jackpot Panda
Jackpot Panda es otro actor de amenazas chino que se centra principalmente en entidades dedicadas a operaciones de juego en línea en el este y sudeste de Asia.
- Historia Operacional: Activo desde al menos 2020, se ha centrado en comprometer relaciones de terceros de confianza para desplegar implantes maliciosos.
- Ataque Notorio: Estuvo involucrado en el compromiso de la cadena de suministro de la aplicación de chat Comm100 en septiembre de 2022, actividad rastreada por ESET como “Operation ChattyGoblin”.
- Tácticas Recientes: En 2023, utilizó un instalador troyanizado de la aplicación de chat CloudChat (popular entre comunidades de juego de habla china) para desplegar XShade, un implante con superposiciones de código con el implante CplRAT de Jackpot Panda.
Metodología de Ataque Observada
AWS ha observado que los actores de amenazas están explotando activamente CVE-2025-55182 junto con otras fallas N-day, como una vulnerabilidad en NUUO Camera (CVE-2025-1338). Esto sugiere un escaneo amplio de Internet en busca de sistemas sin parches.
Los intentos de ataque incluyen:
- Ejecución de comandos de reconocimiento (
whoami). - Escritura de archivos en ubicaciones temporales (
/tmp/pwned.txt). - Lectura de archivos que contienen información sensible (
/etc/passwd).
Este enfoque demuestra un método sistemático por parte de los actores de amenazas, que monitorean las nuevas divulgaciones de vulnerabilidades, integran rápidamente exploits públicos en su infraestructura de escaneo y llevan a cabo campañas amplias y simultáneas para maximizar sus posibilidades de encontrar objetivos vulnerables.
Referencias
- Vulnerabilidades: CVE-2025-55182 (React2Shell), CVE-2025-31324 (SAP NetWeaver flaw), CVE-2025-1338 (NUUO Camera flaw)
- Actores de Amenazas: Earth Lamia, Jackpot Panda
- Informes Citados: Reporte de Amazon Web Services (AWS), Global Threat Report de CrowdStrike, Operation ChattyGoblin de ESET.
- Parches de React: Versiones 19.0.1, 19.1.2 y 19.2.1.
Conclusión
La rápida adopción de la vulnerabilidad React2Shell por parte de grupos de hacking sofisticados subraya la importancia de la gestión proactiva de parches. Las organizaciones deben monitorear de cerca las divulgaciones de vulnerabilidades críticas y aplicar los parches tan pronto como estén disponibles para mitigar el riesgo de ser víctimas de estas campañas de explotación generalizadas.