Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso piede all’interno delle reti dei soggetti colpiti.

Una vulnerabilità critica, identificata come CVE-2025-55182, è stata segnalata alla comunità della sicurezza il 3 dicembre 2025, riguardante React Server Components (RSC). Questa falla di sicurezza, con un punteggioCVSS massimo di 10,0, permette a malintenzionati di eseguire codice arbitrario su un server mediante l’invio di una sola richiesta HTTP appositamente strutturata, senza necessità di autenticazione.

Il mondo informatico ha reagito con prontezza. Subito dopo la notizia pubblica, numerosi cluster di minacce sono stati sfruttati diffusamente, come rilevato dal Google Threat Intelligence Group (GTIG), che ha notato attività sia di gruppi di criminali informatici opportunisti fino a presunti operatori di spionaggio.

Poiché React e Next.js sono fondamentali per il web moderno, la superficie di attacco è enorme. “GTIG considera CVE-2025-55182 una vulnerabilità a rischio critico”. L’attività più allarmante identificata nel rapporto proviene da autori di minacce collegate alla Cina, che hanno rapidamente integrato l’exploit nei loro arsenali per distribuire malware specializzati. Il GTIG ha identificato diverse campagne distinte:

• Tunnelers di UNC6600: questo gruppo è stato visto utilizzare MINOCAT, un sofisticato tunneler. Hanno fatto di tutto per nascondere le proprie tracce, creando directory nascoste come $HOME/.systemd-utils e uccidendo spietatamente i processi legittimi per liberare risorse.
• C2 “legittimo” (UNC6603): questo autore ha implementato una versione aggiornata della backdoor HISONIC. In un’astuta mossa per mimetizzarsi, HISONIC “utilizza servizi cloud legittimi, come Cloudflare Pages e GitLab, per recuperare la sua configurazione crittografata”.
• The Masqueraders (UNC6595): Distribuendo un malware denominato ANGRYREBEL.LINUX, questo gruppo ha tentato di eludere il rilevamento “mascherando il malware come il legittimo demone OpenSSH (sshd) all’interno della directory /etc/” e utilizzando tecniche anti-forensi come il timestomping.
• Vim Impostor (UNC6588): in un’altra ondata di attacchi, gli autori hanno utilizzato l’exploit per scaricare COMPOOD, una backdoor che si camuffava da popolare editor di testo Vim per evitare sospetti.

“GTIG ha identificato campagne distinte che sfruttano questa vulnerabilità per distribuire un tunneler MINOCAT, un downloader SNOWLIGHT, una backdoor HISONIC e una backdoor COMPOOD, nonché miner di criptovalute XMRIG, alcune delle quali si sovrappongono all’attività precedentemente segnalata da Huntress“.

Oltre allo spionaggio, a partire dal 5 dicembre si sono uniti alla mischia anche criminali motivati da interessi finanziari, che hanno utilizzato i miner XMRig per dirottare le risorse del server e generare criptovalute.

Il caos è stato ulteriormente aggravato da un’ondata di disinformazione. Nelle prime ore successive alla divulgazione, Internet è stato inondato di exploit falsi. Un importante repository “che inizialmente sosteneva di essere un exploit funzionale legittimo, ha ora aggiornato il proprio file README per etichettare correttamente le affermazioni iniziali della ricerca come generate dall’intelligenza artificiale e non funzionali”.

L'articolo Il Day-One del Caos di React2Shell! Spie, criminali e cryptominer si contendono i server proviene da Red Hot Cyber.