Minería en una tostadora y 150.000 ataques: así es como tu casa inteligente consume tu electricidad a escondidas
React2Shell: nueva falla en Node.js ya convierte hogares inteligentes y servidores de todo el mundo en cotos de caza para botnets al estilo Mirai
Una nueva vulnerabilidad en Node.js, identificada como CVE-2025-55182 y conocida extraoficialmente como React2Shell, en cuestión de días se convirtió en una herramienta popular para botnets: los operadores atacan masivamente aplicaciones web y dispositivos IoT vulnerables, cargan binarios maliciosos al estilo Mirai y criptominadores, y el número de intentos de explotación bloqueados supera los 150 000 por día.
React2Shell afecta a aplicaciones en Node.js que permiten que el JSON proporcionado por el usuario influya en las estructuras internas de objetos JavaScript. Con una validación insuficiente de datos, esto deriva en ejecución remota de comandos: los atacantes obtienen acceso a process.mainModule.require y, a continuación, a child_process.execSync y al sistema en general. Los investigadores señalan que el exploit es compacto, no requiere técnicas complejas y es aplicable a una amplia clase de aplicaciones Node.js, lo que lo convierte en un candidato ideal para la automatización masiva de ataques.
Según la telemetría de los últimos 30 días, la ola de explotación de React2Shell tiene el perfil de una campaña típica de botnet. Diariamente se registran más de 150 000 solicitudes bloqueadas que coinciden con las firmas de esta vulnerabilidad. En la mayoría de los incidentes se observan comandos directos para ejecución mediante BusyBox, intentos de descargar archivos con wget o curl, cambios de permisos con chmod y diversas técnicas de ocultación —por ejemplo, inserciones con decodificación base64 diseñadas para eludir filtrados simples. Parte de las solicitudes se limita a reconocimiento y comprobación de la vulnerabilidad, pero una proporción significativa son cargas útiles listas para descargar y ejecutar código malicioso.
Una porción notable del tráfico proviene de un centro de datos en Polonia: una única dirección IP generó más de 12 000 eventos relacionados con React2Shell, además de realizar escaneos de puertos e intentos de explotar vulnerabilidades conocidas en equipos Hikvision. Ese perfil de actividad coincide con el comportamiento de los botnets de la familia Mirai y sus derivados, donde la infraestructura comprometida se usa simultáneamente para escaneo y para ataques multivector. Solicitudes adicionales proceden de Estados Unidos, Países Bajos, Irlanda, Francia, Hong Kong, Singapur, China, Panamá y otras regiones, lo que indica una campaña global y en gran medida oportunista: los atacantes disparan a todo Internet con la esperanza de encontrar objetivos vulnerables.
Los objetivos de los ataques también siguen el patrón típico de los botnets de IoT. Se registran intentos de explotación contra enchufes inteligentes, teléfonos inteligentes, NAS, sistemas de videovigilancia, routers, diversas placas para desarrolladores, múltiples modelos de televisores inteligentes y otros dispositivos de consumo. La gran cantidad de huellas de dispositivos «no identificadas» sugiere que muchos ataques se dirigen a cualquier interfaz web basada en Linux que no revele detalles del fabricante o del modelo. De hecho, a los atacantes les basta con ver un puerto HTTP abierto: el script hace el resto.
El análisis de las cargas útiles muestra dos familias principales de código malicioso que se están distribuyendo vía React2Shell en los últimos días. La primera son los descargadores tipo Mirai y sus variantes. En esos casos, los atacantes usan activamente comandos de BusyBox para bajar binarios desde una infraestructura en la dirección IP 193.34.213[.]150, a menudo con nombres como x86 y bolts. La cadena típica es: descarga del archivo, cambio de permisos (por ejemplo, chmod 777), ejecución y luego nuevas solicitudes para componentes adicionales. La segunda familia es el despliegue del minero Rondo: en esta campaña la vulnerabilidad se emplea para descargar el script rondo.aqu.sh desde el servidor 41.231.37[.]153, que instala un módulo para su posterior propagación y un criptominero.
Ambas categorías de ataques encajan en la economía clásica de los botnets: los dispositivos comprometidos se usan para ataques DDoS, para propagación adicional en la red y para la minería ilícita de criptomonedas. Además, React2Shell ofrece un camino muy directo desde una solicitud HTTP hasta la ejecución de un comando del sistema, lo que explica su rápida adopción entre los operadores de botnets.
Es importante entender que los intentos de explotación observados están completamente automatizados y son indiscriminados. A los scripts les da igual quién es usted o qué hace su servidor: cualquier servicio público basado en una aplicación Node.js vulnerable se convierte automáticamente en objetivo. Se recomienda a las organizaciones que desarrollan o despliegan este tipo de aplicaciones instalar parches con prontitud y revisar cuidadosamente la lógica de procesamiento de JSON: la protección contra la contaminación de prototipos y las manipulaciones de las estructuras de objetos es crítica.
Para IoT y dispositivos de consumo, las medidas higiénicas básicas siguen siendo fundamentales: segmentación estricta de redes, minimizar la exposición externa, deshabilitar accesos remotos innecesarios y actualizar el firmware con regularidad. Una vez que un dispositivo está infectado, con frecuencia se transforma en un nodo más del botnet y comienza a participar en nuevos escaneos y ataques, alimentando un ciclo cerrado de explotación.
Los especialistas continúan monitoreando la actividad en torno a CVE-2025-55182 y React2Shell y prometen actualizar la lista de cargas útiles maliciosas, infraestructuras y grupos implicados a medida que aparezcan nuevos datos. En el apéndice del informe se enumeran los indicadores clave de compromiso —incluidas direcciones IP y URL de hosts desde los que se suministran binarios tipo Mirai (por ejemplo, 193.34.213.150 con rutas /nuts/x86 y /nuts/bolts, así como 89.144.31.18 y 31.56.27.76) y el script Rondo (41.231.37.153, ruta /rondo.aqu.sh)— y otros dominios vinculados a la descarga de bots. Estos datos ya pueden usarse para configurar bloqueos y detecciones en redes y en dispositivos finales.