Espías chinos, hackers iraníes y criptomineros: quiénes ya están explotando una vulnerabilidad de React para comprometer tus servidores y cómo lo hacen

Una vulnerabilidad crítica en la popular biblioteca JavaScript React, denominada React2Shell, ya se está usando masivamente en ataques: según los datos de Google, a la explotación se han sumado al menos cinco nuevos grupos de espionaje chinos, actores vinculados a Irán y ciberdelincuentes comunes. La falla está registrada como CVE-2025-55182 y permite a un atacante no autenticado ejecutar código de forma remota en un sistema vulnerable —lo que puede convertir rápidamente un servidor en un punto de entrada para puertas traseras, tunelizadores y mineros de criptomonedas.

Los desarrolladores de React revelaron el fallo el 3 de diciembre, y los ataques empezaron casi de inmediato. El equipo de inteligencia de amenazas de Amazon informó que grupos estatales chinos, incluidos Earth Lamia y Jackpot Panda, empezaron a sondear la vulnerabilidad en cuestión de horas tras la publicación. Según la respuesta de Unit 42 de Palo Alto Networks, ya hay más de 50 organizaciones afectadas en distintos sectores, y también se han detectado atacantes de Corea del Norte.

Google añade que, además de los actores ya conocidos, al menos cinco grupos adicionales que la empresa vincula con la República Popular China usan activamente React2Shell. También se mencionan actores motivados por razones financieras que, tras comprometer un sistema, despliegan XMRig para minado ilegal, así como actores vinculados a Irán —sin especificar quiénes son ni qué hacen después del acceso.

Los investigadores de Google también observan un aumento de actividad en foros clandestinos alrededor de CVE-2025-55182: allí se discute la vulnerabilidad, se comparten enlaces a escáneres, código proof-of-concept y experiencias de explotación exitosa. En la práctica, esto se traduce en el escenario típico de una vulnerabilidad "caliente": en cuanto aparece una herramienta funcional, la adoptan distintos grupos —desde espías hasta delincuentes comunes.

En la lista de actividades vinculadas con Pekín, Google nombra varios clústeres. Así, UNC6600 explota la falla para entregar el tunelizador Minocat y establecerse en sistemas comprometidos. UNC6586 emplea React2Shell para instalar la puerta trasera Snowlight: su telemetría incluía solicitudes HTTP GET a la infraestructura de control, desde donde descargaban cargas adicionales, camufladas como archivos legítimos.

Otro clúster, UNC6588, tras la explotación carga la puerta trasera Compood, y UNC6603 —una versión actualizada de Hisonic. Según la inteligencia de amenazas de Google, la actividad de UNC6603 está dirigida a infraestructura en la nube, principalmente a instancias en AWS y Alibaba Cloud en la región de Asia-Pacífico. Finalmente, UNC6595, otro grupo vinculado con la República Popular China, abusa de la vulnerabilidad para desplegar Angryrebel.Linux y selecciona sobre todo infraestructura en VPS internacionales.

Los problemas de React no terminan ahí: además de CVE-2025-55182 se han divulgado otras tres vulnerabilidades — CVE-2025-55183, CVE-2025-55184 y CVE-2025-67779. Permiten provocar denegaciones de servicio y, en escenarios concretos, potencialmente conducen a la filtración del código fuente de Server Function.

Para reducir el riesgo del peor escenario por las cuatro vulnerabilidades, se recomienda parchear lo antes posible los componentes de servidor de React vulnerables y monitorizar con atención la red en busca de conexiones salientes hacia indicadores de compromiso del informe de Google —especialmente comandos wget o cURL ejecutados por procesos del servidor web. Como señales adicionales de compromiso, Google aconseja buscar directorios ocultos recién creados como $HOME/.systemd-utils, terminaciones no autorizadas de procesos, incluido ntpclient, así como la inyección de lógica maliciosa de ejecución en archivos de configuración de la shell, por ejemplo $HOME/.bashrc.