React2shell

Pesquisadores de cibersegurança revelaram uma campanha persistente de nove meses que visou dispositivos da Internet das Coisas (IoT) e aplicações web, com o objetivo de integrá-los a uma botnet chamada RondoDox. Desde dezembro de 2025, a campanha tem explorado a vulnerabilidade React2Shell (CVE-2025-55182), que permite a execução remota de código em dispositivos vulneráveis. Estima-se que cerca de 90.300 instâncias ainda estejam suscetíveis a essa falha, com a maioria localizada nos EUA. A RondoDox, que surgiu no início de 2025, ampliou seu alcance ao adicionar novas vulnerabilidades ao seu arsenal. A campanha passou por três fases distintas, incluindo reconhecimento inicial e exploração em larga escala. Em dezembro de 2025, os atacantes começaram a escanear servidores Next.js vulneráveis e tentaram implantar mineradores de criptomoedas e variantes da botnet Mirai. Para mitigar os riscos, as organizações são aconselhadas a atualizar suas versões do Next.js, segmentar dispositivos IoT em VLANs dedicadas e monitorar processos suspeitos.

A vulnerabilidade conhecida como React2Shell está sendo explorada por grupos de ameaças para implantar malwares como KSwapDoor e ZnDoor, conforme relatórios da Palo Alto Networks e NTT Security. O KSwapDoor é uma ferramenta de acesso remoto projetada para operar de forma furtiva, utilizando criptografia de nível militar e um modo ‘sleeper’ que permite contornar firewalls. Por outro lado, o ZnDoor, que já está ativo desde dezembro de 2023, é um trojan de acesso remoto que executa comandos em sistemas comprometidos. As campanhas de ataque têm como alvo organizações no Japão e utilizam comandos bash para baixar e executar cargas maliciosas. A vulnerabilidade, classificada como CVE-2025-55182, possui uma pontuação CVSS de 10.0, indicando um risco crítico. Diversos grupos de ameaças, incluindo aqueles com vínculos com a China, têm explorado essa falha para executar comandos arbitrários e implantar ferramentas de monitoramento remoto. Além disso, a Shadowserver Foundation identificou mais de 111.000 endereços IP vulneráveis a ataques relacionados ao React2Shell, com a maioria localizada nos Estados Unidos. Este cenário representa um risco significativo para a segurança cibernética, exigindo atenção imediata das organizações.