Basándose en ataques previos de PeerBlight, Google Threat Intelligence informa de la explotación de la vulnerabilidad React2Shell (CVE-2025-55182) por clústeres con nexo a China y actores motivados financieramente que despliegan puertas traseras y mineros de criptomonedas en sistemas vulnerables de React y Next.js.
Como se detalló en la cobertura previa de la campaña de la puerta trasera PeerBlight para Linux que explota React2Shell (CVE-2025-55182) —una falla crítica de RCE en React Server Components divulgada el 3 de diciembre de 2025—, actores de amenazas adicionales han intensificado los ataques. La vulnerabilidad (CVSS 10.0) afecta a las versiones de React 19.0, 19.1.0, 19.1.1 y 19.2.0 debido a una decodificación inadecuada de payloads, lo que permite la ejecución de código no autenticada mediante solicitudes HTTP manipuladas.
Google Threat Intelligence Group (GTIG) observó campañas de grupos con nexo a China UNC6600, UNC6586, UNC6588 y UNC6603 poco después de la divulgación. UNC6600 despliega túnel MINOCAT mediante trabajos cron y systemd; UNC6586 utiliza el descargador SNOWLIGHT que enlaza a reactcdn.windowserrorapis[.]com; UNC6603 emplea una puerta trasera HISONIC actualizada basada en Go alojada en Cloudflare/GitLab, dirigida a nubes de Asia-Pacífico. Malware adicional incluye la puerta trasera COMPOOD (disfrazada de utilidades) y ANGRYREBEL.LINUX (imitación de demonio SSH con timestomping).
Desde el 5 de diciembre, actores motivados financieramente han desplegado mineros XMRig mediante sex.sh, creando servicios systemd falsos 'system-update-service'. Repositorios de exploits, incluidos webshells en memoria, están proliferando.
Mitigar actualizando a React 19.0.1, 19.1.2 o 19.2.1+, utilizando Cloud Armor WAF, monitoreando IOC como $HOME/.systemd-utils, IPs 45.76.155[.]14 y 82.163.22[.]139, y los hashes de VirusTotal de GTIG para MINOCAT, COMPOOD, SNOWLIGHT.
