Cibercriminales de todo el mundo están coordinando esfuerzos para explotar una falla crítica (CVE-2025-55182), utilizando infraestructura en la nube legítima para ocultar una ofensiva de escala industrial.
Si pensábamos que el inicio de año sería tranquilo, nos equivocamos. Datos recientes revelan que la vulnerabilidad conocida como React2Shell (rastreada oficialmente como CVE-2025-55182) está siendo objeto de una explotación masiva y sostenida. Desde su divulgación, se han registrado más de 8.1 millones de sesiones de ataque, con un volumen diario que se ha estabilizado entre 300,000 y 400,000 intentos.
¿Qué es React2Shell?
Esta vulnerabilidad afecta a componentes de servidor React mal configurados o expuestos, permitiendo a los atacantes ejecutar comandos arbitrarios de PowerShell en el servidor víctima. Es un fallo de Ejecución Remota de Código (RCE) clásico, pero su facilidad de explotación lo ha convertido en el favorito de las botnets y grupos de amenazas avanzadas.
Anatomía de una Campaña Global
Lo que distingue a esta ola de ataques no es solo el volumen, sino la sofisticación de la infraestructura utilizada:
- Diversidad Geográfica: Los ataques provienen de 8,163 direcciones IP únicas distribuidas en 101 países y más de 1,000 Sistemas Autónomos (ASNs).
- Camuflaje en la Nube: Los atacantes están utilizando servidores legítimos para lanzar sus ofensivas. Amazon Web Services (AWS) es la fuente de más de un tercio del tráfico malicioso, lo que complica el bloqueo por IP, ya que muchas empresas no pueden simplemente bloquear todo el tráfico de AWS.
- Rotación Rápida: Casi el 50% de las IPs atacantes son “frescas” (observadas por primera vez después de julio de 2025), lo que indica que los criminales están rotando constantemente su infraestructura para evadir listas negras estáticas.
El Modus Operandi
Los atacantes siguen un patrón de dos etapas altamente automatizado:
- Reconocimiento: Lanzan sondas iniciales que ejecutan operaciones aritméticas simples en PowerShell para confirmar si el servidor es vulnerable.
- Infección: Si la sonda tiene éxito, despliegan la segunda fase: payloads codificados que utilizan técnicas de Bypass de AMSI (Antimalware Scan Interface) para desactivar las defensas de Windows y ejecutar scripts maliciosos sin ser detectados.
Se han identificado más de 70,000 payloads únicos, lo que demuestra que los atacantes están experimentando continuamente con nuevas formas de evasión.
Recomendaciones
- Parcheo Inmediato: Cualquier servidor que ejecute los componentes afectados debe ser actualizado de inmediato.
- Monitoreo de PowerShell: Configura tus sistemas EDR/SIEM para alertar sobre ejecuciones de PowerShell que contengan comandos codificados en Base64 o intentos de modificar la configuración de AMSI.
- Bloqueo Dinámico: No confíes en listas negras estáticas. Utiliza feeds de inteligencia de amenazas dinámicos que puedan identificar y bloquear las IPs de ataque en tiempo real.
