Atores maliciosos ligados à Coreia do Norte estão explorando a vulnerabilidade recentemente divulgada do React2Shell (CVE-2025-55182) para implantar uma ferramenta sofisticada de acesso remoto, o EtherRAT, em ambientes Next.js em produção. Descoberto em 5 de dezembro de 2025 pela Equipe de Pesquisa de Ameaças (TRT) da Sysdig, o EtherRAT representa uma escalada significativa na atividade pós-exploração associada aos Componentes de Servidor React (RSCs). Ao contrário das versões anteriores do React2Shell, focados na mineração de criptomoedas ou no roubo de credenciais, este implante demonstra um alto nível de atualização operacional, persistência e estratégias de evasão consistentes com campanhas de Estados-nação.
Justin Moore, Senior Manager de Threat Intel Research da Unit 42 na Palo Alto Networks, confirmou ao CISO Advisor que mais de 50 organizações nos Estados Unidos, Ásia, América do Sul e Oriente Médio já foram afetadas pela vulnerabilidade em React Server Components: “As vítimas incluem instituições dos setores público e privado, e os invasores estão executando operações nas redes comprometidas. Estamos observando atividades consistentes com o CL-STA-1015, um corretor de acesso inicial com suspeitas de vínculos com o Ministério da Segurança do Estado da China (PRC MSS). Este grupo é conhecido por explorar rapidamente vulnerabilidades do ‘N-day’, atacando imediatamente após o lançamento de um patch, mas antes que as organizações consigam aplicá-lo. Os ataques variam desde scripts automatizados oportunistas que instalam criptomineradores e botnets até operações de espionagem altamente direcionadas. Identificamos o uso de backdoors robustos anteriormente associados a atores estatais, incluindo BPFDoor, NoodleRAT, EtherRAT e Auto-color. Um ponto importante é a presença do EtherRAT, que utiliza contratos inteligentes da Ethereum para evitar detecção. Ele foi recentemente divulgado em campanhas do ator norte-coreano (RPDC) UNC5342, que estaria usando EtherHiding para distribuir malware e facilitar o roubo de criptomoedas. Diante da combinação de ataques oportunistas em larga escala e de operações sofisticadas de espionagem, a Unidade 42 fornece novas tentativas de exploração“.
A vulnerabilidade CVE-2025-55182 do React2Shell é uma falha de desserialização insegura no React 19.xe em frameworks baseados nele, incluindo as versões 15.xe 16.x do Next.js. A vulnerabilidade permite a execução remota de código sem autenticação por meio de uma única solicitação HTTP para endpoints RSC e foi divulgada publicamente em 3 de dezembro de 2025. Em poucas horas, a vulnerabilidade começou a se espalhar por provedores de hospedagem e serviços web baseados em nuvem, desencadeando ataques generalizados de diversos grupos de ameaças.
Entre eles, os cibercriminosos norte-coreanos parecem ter transformado essa vulnerabilidade em arma para implantar o EtherRAT, indo além dos objetivos de monetização de curto prazo observados em ataques anteriores para estabelecer persistência de longo prazo nos alvos. O EtherRAT executa em quatro estágios diferentes, começando com um comando de shell codificado em base64 que tenta continuamente baixar um script malicioso de 193.24.123.68:3001. Após o download, o script obtém um ambiente de execução Node.js próprio do site nodejs.org, extrai e descreve uma carga útil incorporada usando AES-256-CBC e executa o implante final baseado em JavaScript.
Essa abordagem não só garante a compatibilidade entre sistemas Linux como também evita suspeitas, já que o Node.js é proveniente diretamente de uma fonte confiável, em vez de ser agrupado com parceiros maliciosos. A implantação é instalada em diretórios ocultos na pasta pessoal do usuário e estabelece múltiplos mecanismos de persistência, incluindo serviços systemd, entradas de inicialização automática XDG, tarefas cron e adições aos arquivos .bashrc e .profile.
Esses mecanismos redundantes garantem a sobrevivência do sistema mesmo após reinicializações e tentativas de limpeza manuais. A característica mais notável do EtherRAT, no entanto, reside no uso da blockchain Ethereum para operações de comando e controle (C2). Em vez de depender de endereços IP ou nomes de domínios fixos, o malware recupera a URL C2 ativa de um contrato inteligente on-chain em 0x22f96d61cf118efabc7c5bf3384734fad2f6ead4. O sistema de consulta é contrato a cada cinco minutos por meio de nove endpoints RPC públicos do Ethereum, usa um modelo de consenso por votação majoritária para selecionar a URL correta e, em seguida, contata o servidor C2 de forma segura.
Essa arquitetura descentralizada garante que o implante permaneça resiliente mesmo se alguns endpoints RPC forem bloqueados ou sofrerem um sumidouro. Como todas as comunicações por meio de proteções HTTPS padrão que imitam o tráfego comum de uma rede de distribuição de conteúdo (CDN) com caminhos e extensões de arquivo aleatórios, é difícil para os defensores distinguir beacons C2 maliciosos do tráfego web legítimo. Assim que a conexão C2 estiver ativa, o EtherRAT verifica a existência de comandos JavaScript a cada meio segundo e os executados na memória por meio de um wrapper de função assíncrona.
Este projeto oferece aos operadores controle total sobre o sistema infectado, incluindo acesso a arquivos, inspeção do ambiente e execução de comandos dentro do ambiente de execução do Node.js. Ao entrar em contato pela primeira vez com sua infraestrutura C2, o EtherRAT transmite seu código-fonte para o endpoint/api/reobf/ e se substitui pela resposta. Esse processo de automodificação provavelmente servirá como um recurso anti-análise ou permite atualizações dinâmicas, tornando cada implantação única e impedindo a detecção de assinaturas estáticas.
A análise da Sysdig também estabeleceu uma sobreposição técnica significativa entre o EtherRAT e as ferramentas da campanha “Entrevista Contagiosa” do Grupo Lazarus, particularmente no uso de complementos criptografados com AES e implantes baseados em Node.js. No entanto, o EtherRAT apresenta diversas evoluções: substituir uma infraestrutura fixa por um servidor de comando e controle (C2) baseado em blockchain, baixar dependências de domínios confiáveis para evitar a filtragem de rede e implementar uma estrutura de persistência muito mais agressiva.
Esses atributos sugerem tanto o envolvimento direto de grupos ameaçadores da Coreia do Norte quanto um conjunto de ferramentas compartilhadas usadas por atores estatais avançados. A CISA já adicionou o CVE-2025-55182 ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas, recomendando que as organizações que dependem de componentes de servidor React ou do framework Next.js se atualizem imediatamente para a versão 19.2.1 ou mais recente. Um Sysdig recomendamos a busca por indicadores de persistência não autorizados, o monitoramento do tráfego RPC de saída do Ethereum e a implementação de detecção comportamental em tempo de execução em vez de assinaturas estáticas.
