Cinco métodos de reinicio, nueve nodos de Ethereum y actualización automática: ¿qué más puede hacer EtherRAT?

La aparición de una nueva herramienta maliciosa en la cadena de ataques React2Shell fue un acontecimiento notable en el contexto de la ola de intrusiones iniciada tras la divulgación de la vulnerabilidad CVE-2025-55182. Esta vez se trata de un mecanismo mucho más complejo que los intentos anteriores de introducir criptominadores o recopiladores de datos. El equipo Sysdig TRT identificó un componente inusual llamado EtherRAT, que emplea una combinación de técnicas de distintas campañas y muestra un aumento significativo de la preparación por parte de los atacantes.

Los especialistas Sysdig descubrieron EtherRAT el 5 de diciembre en una aplicación Next.js comprometida apenas dos días después de la publicación de la vulnerabilidad crítica en React Server Components. La vulnerabilidad permite ejecutar código arbitrario a través de una sola solicitud HTTP, la cual fue explotada activamente por varios grupos. Pero el nuevo escenario de ataque destaca por su profundidad y planificación. En lugar de los comandos de shell estándar y servidores de control rígidamente definidos, aquí se usan una cadena de carga propia, un componente JavaScript externo y una técnica de control basada en blockchain.

El ataque se desarrolla en un esquema de cuatro etapas. Primero se ejecuta un comando codificado que lanza un cargador, el cual intenta obtener el script de diversas maneras y reinicia el proceso en caso de fallo. Después, se descarga en el sistema la distribución oficial de Node.js, lo que oculta la actividad maliciosa entre el tráfico legítimo. A continuación se inicia un componente cifrado que descifra el módulo principal. La etapa final es el módulo persistente EtherRAT, que crea un punto de presencia resistente y mantiene comunicación con los operadores.

El elemento más inusual fue el sistema de control a través de un contrato inteligente de Ethereum. El módulo malicioso consulta regularmente el contrato para solicitar la dirección actual del servidor de control. Para ello utiliza nueve nodos RPC públicos, y la dirección final se selecciona por mayoría, lo que dificulta mucho el redireccionamiento o el bloqueo. Este enfoque ya había aparecido en algunos paquetes maliciosos para NPM, pero la implementación de EtherRAT resultó mucho más compleja y resistente.

Obtenida la dirección del servidor, el módulo malicioso inicia sondeos continuos, camuflando la actividad de red como la carga de recursos estáticos. Si el servidor devuelve código, este se ejecuta como JavaScript con acceso a funciones del sistema, lo que otorga a los operadores control remoto completo.

Para mantener la persistencia, EtherRAT utiliza cinco canales de autoinicio: un servicio systemd en el entorno del usuario, el punto de lanzamiento XDG, una entrada en cron, y cambios en .bashrc y .profile. El uso de múltiples mecanismos independientes aumenta la probabilidad de supervivencia tras reinicios y administración del sistema.

La ofuscación adicional la proporciona la función de actualización: en la primera conexión exitosa el módulo envía su código al servidor, recibe una versión modificada y se reemplaza por una nueva compilación. Esto complica el análisis y la detección basada en firmas.

Por el conjunto de técnicas aplicadas, EtherRAT muestra afinidad con herramientas anteriormente vinculadas a entidades de Corea del Norte, incluyendo elementos característicos de la campaña Contagious Interview. Sin embargo, el esquema de consolidación más agresivo, el nuevo vector de intrusión y los mecanismos de control ampliados sugieren tanto una evolución de herramientas conocidas como el posible uso de desarrollos compartidos por distintos grupos. La actividad observada difiere sustancialmente de las acciones de grupos chinos, que en el contexto de React2Shell se limitaron a puertas traseras habituales como Cobalt Strike y a un menor número de medios de persistencia.

Los especialistas subrayan la necesidad de monitorear las consultas a los nodos de Ethereum, así como las solicitudes anómalas a nodejs.org y la descarga de scripts con nombres arbitrarios. EtherRAT utiliza directorios aleatorios y archivos ocultos, por lo que conviene prestar atención a los indicadores de comportamiento en lugar de a rutas concretas.