Actores vinculados a Corea del Norte han sido observados explotando la vulnerabilidad crítica CVE-2025-55182, conocida como React2Shell, presente en React Server Components (RSC). Esta vulnerabilidad, con una severidad CVSS de 10.0, ha permitido la ejecución remota de comandos para instalar la nueva puerta trasera EtherRAT, dirigida principalmente a sistemas Linux y utilizada para espionaje y persistencia a largo plazo.

La campaña forma parte de la operación “Contagious Interview”, enfocada en atacar a desarrolladores Web3 y blockchain mediante ingeniería social (falsas entrevistas, pruebas técnicas, retos de programación, etc.).

Cadena de Ataque (Kill Chain)

1. Explotación de React2Shell

• Los atacantes emplean comandos codificados en Base64 que descargan un script inicial de instalación.

2. Despliegue del entorno y loader

• El script obtiene una versión modificada de Node.js, descarga un blob encriptado y un dropper JavaScript ofuscado, y posteriormente elimina evidencia para evadir análisis.

3. Instalación del backdoor EtherRAT

• EtherRAT se despliega y establece persistencia mediante cinco métodos distintos:
  • Servicios systemd
  • Autostart bajo XDG
  • Tareas cron
  • Inyección en .bashrc
  • Modificación de profile del usuario

4. Comunicación con C2 mediante blockchain

• EtherRAT aplica la técnica EtherHiding consultando un contrato inteligente de Ethereum para obtener la ubicación del servidor C2. Valida los datos consultando nueve endpoints RPC públicos para evitar manipulación.

5. Actualizaciones silenciosas y evasión

• El C2 puede actualizar el malware en tiempo real. EtherRAT elimina archivos residuales para dificultar la investigación digital.

Riesgos y Alcance

• Compromiso total de sistemas Linux
• Exfiltración de información técnica y sensible
• Movimientos laterales en redes corporativas
• Persistencia avanzada con múltiples capas
• Riesgo elevado en organizaciones que utilicen Web3, desarrollo sobre JavaScript o infraestructura basada en RSC

Soluciones / Mitigaciones de Sophos para la amenaza UNC1549

Sophos Intercept X / Intercept X Advanced

• Intercept X for Server protege servidores (Windows y Linux) con detección basada en deep learning, permitiendo identificar malware conocido y desconocido, incluso sin firmas.
• Soporta detección de amenazas en hosts Linux y contenedores, con monitorización de comportamiento, exploits en tiempo de ejecución, elevación de privilegios, escalamientos, intentos de evasión, exfiltración de datos, etc.
• XDR permite consolidar visibilidad: hosts, contenedores, red, cloud — ideal si el malware usa persistencia, túneles, C2 vía Internet o infraestructura nube.
• Permite investigación (threat hunting), detección de “grey-area” (archivos sospechosos, scripts, comportamientos anómalos), priorización por riesgo, respuesta remota (Live Response) para contener infecciones.
• Incluye prevención de exploits y protección antiransomware, lo que puede prevenir descargas/exploit iniciales, bloqueo de payloads antes de ejecución y frenado de cifrados maliciosos en caso de ataque mayor.