Il Day-One del Caos di React2Shell! Spie, criminali e cryptominer si contendono i server

Redazione RHC : 13 Dicembre 2025 16:04

Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso piede all’interno delle reti dei soggetti colpiti.

Una vulnerabilità critica, identificata come CVE-2025-55182, è stata segnalata alla comunità della sicurezza il 3 dicembre 2025, riguardante React Server Components (RSC). Questa falla di sicurezza, con un punteggio CVSS massimo di 10,0, permette a malintenzionati di eseguire codice arbitrario su un server mediante l’invio di una sola richiesta HTTP appositamente strutturata, senza necessità di autenticazione.

Il mondo informatico ha reagito con prontezza. Subito dopo la notizia pubblica, numerosi cluster di minacce sono stati sfruttati diffusamente, come rilevato dal Google Threat Intelligence Group (GTIG), che ha notato attività sia di gruppi di criminali informatici opportunisti fino a presunti operatori di spionaggio.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Poiché React e Next.js sono fondamentali per il web moderno, la superficie di attacco è enorme. “GTIG considera CVE-2025-55182 una vulnerabilità a rischio critico”. L’attività più allarmante identificata nel rapporto proviene da autori di minacce collegate alla Cina, che hanno rapidamente integrato l’exploit nei loro arsenali per distribuire malware specializzati. Il GTIG ha identificato diverse campagne distinte:

• Tunnelers di UNC6600: questo gruppo è stato visto utilizzare MINOCAT, un sofisticato tunneler. Hanno fatto di tutto per nascondere le proprie tracce, creando directory nascoste come $HOME/.systemd-utils e uccidendo spietatamente i processi legittimi per liberare risorse.
• C2 “legittimo” (UNC6603): questo autore ha implementato una versione aggiornata della backdoor HISONIC. In un’astuta mossa per mimetizzarsi, HISONIC “utilizza servizi cloud legittimi, come Cloudflare Pages e GitLab, per recuperare la sua configurazione crittografata”.
• The Masqueraders (UNC6595): Distribuendo un malware denominato ANGRYREBEL.LINUX, questo gruppo ha tentato di eludere il rilevamento “mascherando il malware come il legittimo demone OpenSSH (sshd) all’interno della directory /etc/” e utilizzando tecniche anti-forensi come il timestomping.
• Vim Impostor (UNC6588): in un’altra ondata di attacchi, gli autori hanno utilizzato l’exploit per scaricare COMPOOD, una backdoor che si camuffava da popolare editor di testo Vim per evitare sospetti.

“GTIG ha identificato campagne distinte che sfruttano questa vulnerabilità per distribuire un tunneler MINOCAT, un downloader SNOWLIGHT, una backdoor HISONIC e una backdoor COMPOOD, nonché miner di criptovalute XMRIG, alcune delle quali si sovrappongono all’attività precedentemente segnalata da Huntress“.

Oltre allo spionaggio, a partire dal 5 dicembre si sono uniti alla mischia anche criminali motivati da interessi finanziari, che hanno utilizzato i miner XMRig per dirottare le risorse del server e generare criptovalute.

Il caos è stato ulteriormente aggravato da un’ondata di disinformazione. Nelle prime ore successive alla divulgazione, Internet è stato inondato di exploit falsi. Un importante repository “che inizialmente sosteneva di essere un exploit funzionale legittimo, ha ora aggiornato il proprio file README per etichettare correttamente le affermazioni iniziali della ricerca come generate dall’intelligenza artificiale e non funzionali”.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli