No último fim de semana, a equipe de threat intelligence do Google identificou cinco novos grupos de hackers chineses explorando a vulnerabilidade crítica conhecida como "React2Shell", que permite execução remota de código (remote code execution) com severidade máxima.
A falha, catalogada como
CVE-2025-55182
, afeta a biblioteca open source React, amplamente utilizada em aplicações JavaScript, incluindo Next.js.
O bug possibilita que invasores não autenticados executem código arbitrário por meio de uma única requisição HTTP.
Embora diversos pacotes React — como react-server-dom-parcel, react-server-dom-turbopack e react-server-dom-webpack — estejam vulneráveis em suas configurações padrão, essa falha impacta especificamente as versões 19.0, 19.1.0, 19.1.1 e 19.2.0 lançadas no último ano.
Após a divulgação da vulnerabilidade, a Palo Alto Networks reportou que dezenas de organizações foram comprometidas, com ataques atribuídos a grupos chineses patrocinados pelo Estado.
Os invasores aproveitam a brecha para executar comandos remotamente e roubar arquivos de configuração da AWS, credenciais e outras informações sensíveis.
O time de segurança da Amazon Web Services (AWS) alertou que os grupos China-linked Earth Lamia e Jackpot Panda começaram a explorar o React2Shell poucas horas após a divulgação.
No sábado, o Google Threat Intelligence Group (GTIG) anunciou o monitoramento de pelo menos cinco grupos chineses adicionais envolvidos nas ofensivas que começaram logo após a revelação da falha, em 3 de dezembro.
Entre esses grupos vinculados ao Estado estão UNC6600 (que utiliza o software de tunelamento MINOCAT), UNC6586 (responsável pelo downloader SNOWLIGHT), UNC6588 (com o payload backdoor COMPOOD), UNC6603 (versão atualizada do backdoor HISONIC) e UNC6595 (empregando o Trojan de Acesso Remoto ANGRYREBEL.LINUX).
Segundo os pesquisadores do GTIG, o uso do React Server Components (RSC) em frameworks populares como Next.js expõe um número significativo de sistemas vulneráveis.
Além disso, o GTIG observou intensa atividade em fóruns underground, onde atores maliciosos compartilham ferramentas de scanning, códigos de prova de conceito (PoC) e relatos do uso desses recursos para explorar a
CVE-2025-55182
.
Durante as investigações, o GTIG também identificou grupos iranianos explorando a falha, assim como criminosos financeiros que implantam o minerador de criptomoedas XMRig em sistemas desprotegidos.
O grupo de monitoramento Shadowserver acompanha mais de 116 mil endereços IP vulneráveis à React2Shell, sendo que mais de 80 mil estão localizados nos Estados Unidos.
Paralelamente, a GreyNoise registrou mais de 670 tentativas de exploração da vulnerabilidade nas últimas 24 horas, principalmente originadas dos EUA, Índia, França, Alemanha, Holanda, Singapura, Rússia, Austrália, Reino Unido e China.
No dia 5 de dezembro, a Cloudflare reportou queda global em vários sites, associada à mitigação emergencial adotada para conter os ataques relacionados à React2Shell.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...