React2Shell (CVE-2025-55182) é uma vulnerabilidade crítica de RCE não autenticada em React Server Components (RSC) com CVSS 10.0, já sendo explorada em larga escala por diversos grupos (espionagem estatal e crime financeiro) para implantar backdoors, miners e outros malwares em aplicativos React/Next.js desatualizados.
Panorama da vulnerabilidade e exploração
React2Shell afeta implementações de RSC na camada de protocolo “Flight”, permitindo que um invasor remoto envie payloads especialmente criados que o processo do servidor como código, levando à execução arbitrária sem credenciais em determinadas versões de React 19.xe Next.js 15.x/16.x com App Router habilitado. Como aplicativos criados com create-next-app na configuração padrão podem ficar expostos, o número de serviços vulneráveis em nuvem, contêineres e Kubernetes é significativo, o que explica o volume de exploração coletado minutos/horas após a divulgação pública em 3 de dezembro de 2025.
O Google Threat Intelligence Group (GTIG) documentou múltiplas campanhas independentes usando o mesmo bug, destacando que já existem exploits totalmente funcionais e diversos formatos de payload em circulação, inclusive ferramentas que injetam web shells apenas na memória, o que dificulta a detecção baseada em arquivos. Além disso, foram encontradas centenas de PoCs de qualidade variada, alguns com bypass de WAF e automação de varredura massiva da internet em busca de instâncias vulneráveis.
Grupos e malware transmitidos
Segundo o GTIG, grupos com conexão com a China (por exemplo, UNC6600 e UNC6603) estão usando React2Shell para operações de espionagem:
- UNC6600 implantar o túnel MINOCATum binário vai para manter acesso persistente e pivô de rede via tunelamento.
- UNC6603 distribuição de versões atualizadas do backdoor HISONICque camufla seu tráfego usando serviços legítimos (como Cloudflare) para C2, ou que complica bloqueios baseados apenas em domínios de infraestrutura suspeitos.
Campanhas de crime financeiro e oportunista foram instaladas XMRig para mineração de criptomoeda, muitas vezes usando scripts como sex.sh para baixar e iniciar o mineiro, consumindo recursos de CPU das vítimas. Outras cargas úteis incluem o downloader LUZ DE NEVE eo porta dos fundos COMPOSTOusados para puxar cargas adicionais e extrair dados, além de amostras como ANGRYREBEL.LINUX para atividades pós-exploração em ambientes Linux.
Os IoCs publicados incluem domínios e IPs de C2 e staging, como reactcdn.windowserrorapis(.)com, 82.163.22(.)139, 216.158.232(.)43 e 45.76.155(.)14além de vários hashes SHA256 associados a HISONIC, ANGRYREBEL.LINUX, XMRig downloader (sex.sh), SNOWLIGHT e MINOCAT.
Mitigações imediatas recomendadas
- Aplicar patches/atualizações: garantir que todas as aplicações com React Server Components e Next.js estejam nas versões corrigidas indicadas pelos fornecedores (React/Meta, Vercel e distribuidores Linux/container).
- Endurecer borda e WAF: usar regras específicas para bloquear padrões de exploração de RSC/Flight; provedores como Cloudflare já liberaram regras gerenciadas para React2Shell com ação padrão de bloqueio.
- Caça a ameaças e IoCs: varrer logs e telemetria buscando exploração de RSC, comandos inesperados (wget/curl/chmod via BusyBox), conexões para os domínios/IPs de C2 publicados e presença de arquivos/scripts como
sex.shou binários com os hashes divulgados.
Organizações com aplicações em React/Next.js devem tratar o React2Shell como incidente crítico de superfície ampla, validar rapidamente a exposição na internet, priorizar a correção e integrar os IoCs e TTPs apresentados em suas regras de detecção e resposta.
