«Devuélveme mi 2016»: el nuevo backdoor ZnDoor "congela" el tiempo para despistar a analistas veteranos
En Japón detectan ataques vía React2Shell que instalan el nuevo RAT ZnDoor en servidores en lugar de un minero.
Desde principios de diciembre de 2025, los especialistas SOC registran en Japón una oleada de ataques con explotación de React2Shell (CVE-2025-55182) — una vulnerabilidad de ejecución remota de código en React/Next.js que ya cuenta con un PoC público y ha comenzado a utilizarse masivamente contra servicios web. En muchos casos los atacantes ejecutan en los sistemas comprometidos cargas habituales como criptomineros, pero en varios incidentes los analistas se han topado con un malware desconocido que recibió el nombre ZnDoor.
Según las observaciones de NTT Security, ZnDoor puede haberse utilizado al menos desde diciembre de 2023 y, probablemente, guarda relación contextual con campañas que explotan vulnerabilidades en equipos de red. En el ataque detectado en empresas dentro de Japón, la cadena comienza con React2Shell: tras una explotación exitosa en el servidor se ejecuta un comando que descarga y lanza ZnDoor. Es notable que el servidor que distribuía la muestra y el C2 de control coincidían en este caso, y una vez iniciado el malware comienza a comunicarse con la infraestructura de mando y control.
La configuración de ZnDoor está almacenada en el código y se extrae mediante Base64 seguida de un descifrado AES-CBC: en ella están incrustados la dirección api.qtss[.]cc y el puerto 443. A partir de estos datos el malware forma la URL para conectarse al C2, enmascarando las peticiones como actividad web habitual en la ruta /en/about con el parámetro source=redhat y distintos valores de id, incluidos variantes con versiones v1.0, v1.1 y una larga cadena numérica.
A continuación comienza el «beacon» regular: la muestra recopila información del sistema, la empaqueta en JSON y la envía al C2 mediante HTTP POST cada segundo, sustituyendo el User-Agent por uno de Safari. Se transmiten, entre otros datos, direcciones IP locales, una cadena con la versión y datos del host, así como un token de la víctima que se genera con la biblioteca xid y luego se hashea con MD5; si la respuesta es ERROR, el malware hace una pausa e intenta reenviar los datos hasta diez veces.
En cuanto a funcionalidad, ZnDoor se comporta como un troyano de acceso remoto (RAT) completo: por órdenes del C2 puede ejecutar comandos de shell, iniciar una shell interactiva, listar directorios, leer y borrar archivos, transferir archivos en ambos sentidos, recopilar información del sistema, modificar las marcas de tiempo de archivos, lanzar un proxy SOCKS5 y configurar reenvío de puertos. Los resultados de la ejecución de comandos los serializa y los envía de vuelta por el mismo canal HTTP POST, y el separador de parámetros en las líneas de comando es la secuencia ##.
Los investigadores hacen hincapié en los mecanismos de evasión. ZnDoor puede reiniciarse repetidamente a sí mismo a través de /proc/self/exe, conservando la entrada y salida estándar y dificultando de hecho el análisis del comportamiento en vivo, además de entorpecer intentos de terminar el proceso por PID.
Paralelamente, el malware sustituye el nombre del proceso y fuerza sus propias marcas de tiempo a un valor fijo 2016-01-15 15:08:257450580, lo que puede entorpecer la investigación forense y reducir la visibilidad en comprobaciones orientadas a artefactos «recientes». En los SOC subrayan que ya se observan casos de explotación de React2Shell con la posterior instalación de ZnDoor en empresas japonesas, por lo que los intentos de atacar a través de esta vulnerabilidad deben considerarse una amenaza persistente y no un episodio aislado.