Mientras ustedes desplegaban el viernes, ellos ya estaban minando: React les dio a los administradores una nueva pesadilla — PeerBlig
Cómo el lenguaje Go facilita a los hackers falsificar sellos de tiempo y ocultar los rastros de sus intrusiones
Justo después de la divulgación pública de una vulnerabilidad crítica en React Server Components, los atacantes comenzaron a explotarla para atacar a organizaciones de distintos sectores. El equipo de Huntress informa que se trata de un problema de tipo RCE sin autenticación que permite ejecutar código con una única solicitud HTTP especialmente formada.
La vulnerabilidad recibió el identificador CVE-2025-55182 y el nombre no oficial «React2Shell». Se dio a conocer el 3 de diciembre de 2025; la puntuación CVSS llega a 10,0, y los desarrolladores de React recomendaron actualizar urgentemente. Huntress registra intentos de explotación al menos desde el 8 de diciembre en las infraestructuras de varios clientes. Paralelamente, en el ecosistema de Next.js se mencionó CVE-2025-66478, pero luego se descartó como duplicado de CVE-2025-55182.
Según Huntress, tras el acceso inicial los atacantes despliegan diversas cargas. Entre ellas: un minero de criptomonedas, un backdoor para Linux denominado PeerBlight, así como herramientas para afianzar la presencia y avanzar dentro de la red. PeerBlight resulta interesante porque usa la DHT de BitTorrent como canal de control alternativo, lo que dificulta bloquear la infraestructura por dominios.
Otro componente de la campaña es CowTunnel, un túnel proxy inverso que establece conexiones salientes hacia servidores FRP controlados por los atacantes y ayuda a eludir las restricciones perimetrales. En casos aislados se observó un implante postexplotación en Go llamado ZinFoq con funciones de shells inversas, proxy SOCKS5 y alteración de las marcas de tiempo de archivos para ocultar rastros. También se detectó la distribución de una variante del botnet Kaiji, que combina capacidades DDoS con mecanismos para mantener persistencia y técnicas que provocan que el sistema se reinicie al intentar terminar el proceso.
En los registros de uno de los incidentes Huntress vio indicios de automatización: comprobaciones idénticas de ejecución de comandos e intentos de ejecutar cargas de Linux en hosts Windows. Antes de la explotación, según la compañía, se empleó el escáner público react2shell-scanner de Assetnote, que busca instancias vulnerables de Next.js.
Para reducir el riesgo, Huntress recomienda actualizar cuanto antes los paquetes afectados react-server-dom-webpack, react-server-dom-parcel y react-server-dom-turbopack a las versiones corregidas (19.0.1, 19.1.2 y 19.2.1). Para Next.js existe una utilidad específica, fix-react2shell-next, que comprueba la versión y ayuda a ponerla en un estado seguro.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!