Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più fondamentale aumentare l’attenzione al patching dei sistemi, adottando processi di aggiornamento tempestivi e rigorosi per ridurre al minimo il rischio di compromissione.
Due gruppi di hacker con legami con la Cina hanno iniziato a sfruttare la vulnerabilità critica nei componenti di React Server poche ore dopo la sua divulgazione pubblica. La vulnerabilità, CVE-2025-55182, ha un punteggio massimo di 10 ed è stata soprannominata “React2Shell” dalla community. Consente l’esecuzione di codice remoto senza alcuna autenticazione sul server vulnerabile. Il problema è già stato risolto nelle versioni 19.0.1, 19.1.2 e 19.2.1 di React, ma i progetti non patchati rimangono facili prede per gli aggressori.
Secondo un rapporto di Amazon Web Services, sono stati rilevati tentativi di sfruttare React2Shell nell’infrastruttura honeypot di AWS MadPot. I log hanno mostrato attività di hacker provenienti da indirizzi IP e server precedentemente collegati a gruppi sponsorizzati dallo Stato cinese. Gli analisti hanno identificato due campagne coinvolte, denominate Earth Lamia e Jackpot Panda.
Earth Lamia è descritto come un gruppo affiliato alla Cina, precedentemente accusato di aver sfruttato una vulnerabilità critica in SAP NetWeaver (CVE-2025-31324). I suoi interessi non si limitano a un singolo settore: sono stati presi di mira istituti finanziari, aziende di logistica, aziende di vendita al dettaglio, il settore IT, università ed enti governativi in America Latina, Medio Oriente e Sud-est asiatico.
Il secondo gruppo, Jackpot Panda, tradizionalmente prende di mira le aziende che operano o servono il mercato del gioco d’azzardo online nell’Asia orientale e sud-orientale. Secondo CrowdStrike, è attivo almeno dal 2020 e preferisce accedere alle reti delle vittime tramite terze parti fidate, sfruttando catene di affiliazione compromesse per installare sistemi dannosi e ottenere l’accesso iniziale.
I ricercatori hanno inoltre notato che in una campagna, gli aggressori hanno utilizzato un installer trojanizzato per CloudChat, un messenger popolare nelle comunità clandestine di gioco d’azzardo in lingua cinese. Il sito web dell’app ha distribuito un installer che ha avviato una catena multi-step per installare un nuovo impianto XShade, il cui codice è collegato al malware proprietario CplRAT utilizzato da Jackpot Panda.
Amazon segnala che, oltre a React2Shell, gli stessi autori stanno sfruttando contemporaneamente altre vulnerabilità note, tra cui un bug nelle telecamere NUUO (CVE-2025-1338 , CVSS 7.3). Ciò suggerisce che gli operatori non si stanno limitando a una singola vulnerabilità, ma stanno analizzando massicciamente Internet alla ricerca di sistemi non aggiornati, combinando più CVE in un’unica ondata di attacchi.
Secondo CJ Moses, Direttore della Sicurezza di Amazon, questo è un sistema tipico e ben collaudato, utilizzato dai team avanzati. Monitorano costantemente i nuovi report sulle vulnerabilità, integrano rapidamente l’exploit pubblicato nella loro infrastruttura di scansione e lanciano campagne su più vulnerabilità per massimizzare le possibilità di individuare obiettivi vulnerabili. Per i proprietari di siti web e servizi React, questo significa una cosa: se un’applicazione utilizza i componenti React Server e non è ancora stata aggiornata alle versioni più recenti, deve essere urgentemente patchata e ulteriormente monitorata per eventuali compromissioni.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cybercrime
Vulnerabilità
Innovazione
Cyber Italia