Uma nova cepa de malware altamente sofisticada que visa componentes vulneráveis do React Server, sinalizando uma evolução significativa na forma como os agentes de ameaças patrocinados pelo estado estão explorando a vulnerabilidade crítica do React2Shell divulgada poucos dias antes.
Em 5 de dezembro de 2025, apenas dois dias após a divulgação da vulnerabilidade de gravidade máxima CVE-2025-55182 (apelidada de “React2Shell”), a equipe de pesquisa de ameaças Sysdig (TRT) descobriu um novo implante sofisticado chamado EtherRAT implantado em aplicativos Next.js comprometidos.
Ao contrário dos ataques oportunistas anteriores que instalaram mineradores de criptomoedas simples, o EtherRAT é uma ferramenta de espionagem persistente que se conecta a atores patrocinados pelo Estado da Coreia do Norte (RPDC), aproveitando contratos inteligentes Ethereum para uma infraestrutura resiliente de comando e controle (C2).
Exploração do React2Shell (CVE-2025-55182)
O ponto de entrada para esta campanha é CVE-2025-55182, uma falha de desserialização insegura em React Server Components (RSCs) que permite a execução remota de código não autenticado por meio de uma única solicitação HTTP.
A vulnerabilidade afeta React 19.xe Next.js versões 15.x/16.x usando o App Router. Após a sua divulgação em 3 de dezembro de 2025, a Agência de Segurança Cibernética e de Infraestrutura (CISA) rapidamente o adicionou ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) à medida que a exploração ativa aumentava.
Embora grupos do nexo da China como “Earth Lamia” tenham sido observados implantando faróis Cobalt Strike, a campanha EtherRAT marca uma mudança distinta na arte comercial. Em vez da destruição imediata ou da mineração barulhenta, esses atores concentram-se na furtividade e na persistência a longo prazo.
VulnerabilidadeCVE-2025-55182 (React2Shell)TipoDesserialização insegura/execução remota de códigoGravidadeCrítica (gravidade máxima)Software afetadoReact 19.x, Next.js 15.x/16.x (App Router)Data de divulgação 3 de dezembro de 2025Explorações ativasCobalt Strike (China-nexus), EtherRAT (nexo RPDC), XMRig
EtherRAT, o blockchain furtivo
EtherRAT se distingue por um mecanismo C2 de “consenso” exclusivo. Em vez de se conectar a um IP de servidor codificado que pode ser bloqueado, o malware consulta um contrato inteligente Ethereum específico para recuperar a URL do servidor de comando.
Para evitar adulteração ou envenenamento, o EtherRAT consulta nove endpoints públicos distintos de Chamada de Procedimento Remoto (RPC), incluindo Cloudflare, Flashbots e PublicNode, e aceita apenas o URL C2 retornado pela maioria.
Esta técnica “EtherHiding” torna ineficaz o bloqueio tradicional baseado em IP. Para os defensores, o tráfego aparece como solicitações HTTPS legítimas para gateways de blockchain bem conhecidos.
Além disso, o malware disfarça seu tráfego de pesquisa C2 como solicitações de ativos estáticos (como arquivos .png ou .css), combinando-se perfeitamente com o tráfego normal de aplicativos da web.
Em um movimento projetado para contornar os scanners da cadeia de suprimentos, o EtherRAT não agrupa seu próprio tempo de execução. Em vez disso, o dropper baixa uma cópia legítima e assinada do tempo de execução do Node.js diretamente da distribuição oficial do nodejs.org.
Isso garante que o malware tenha um ambiente de execução estável, sem introduzir binários suspeitos que possam acionar alertas antivírus.
A análise da Sysdig TRT revela sobreposições de código significativas entre o EtherRAT e a campanha “Contagious Interview”, uma operação de longa duração atribuída a grupos afiliados à RPDC (Lazarus/UNC5342).
Criptografia compartilhada: Ambas as campanhas usam um carregador criptografado AES-256-CBC quase idêntico para proteger suas cargas úteis. Infraestrutura: O uso de C2 baseado em blockchain se alinha com a recente adoção de técnicas “EtherHiding” na RPDC.
No entanto, o EtherRAT é mais sofisticado do que as cargas úteis típicas de “Entrevista Contagiosa”, apresentando cinco mecanismos de persistência redundantes (Systemd, XDG, Cron, Bashrc e injeção de perfil) em comparação com os habituais um ou dois.
Mitigação e indicadores de compromisso
As organizações que executam Next.js ou React Server Components devem corrigir imediatamente para a versão 19.2.1 ou posterior. Os defensores devem procurar os seguintes indicadores, particularmente o tráfego de saída para nós públicos Ethereum RPC de servidores web, o que é altamente anômalo na maioria dos ambientes.
Tipo de indicadorValor / PatternStaging Server193.24.123(.)68:3001 (fonte de script de shell malicioso)Contrato inteligente0x22f96d61cf118efabc7c5bf3384734fad2f6ead4Tráfego de redeSolicitações POST rápidas para vários RPCs Ethereum (por exemplo, eth.llamarpc(.)com, rpc.flashbots(.)net)Artefatos de arquivoDiretórios ocultos em $HOME/.local/share/ com nomes hexadecimais aleatórios (por exemplo, .05bf0e9b)Processos ProcessNode.js gerados a partir de diretórios ocultos como .local/share/ em vez de /usr/bin/
A combinação de exploração de dia zero e infraestrutura imutável de blockchain torna o EtherRAT uma ameaça formidável. As equipes de segurança são aconselhadas a se concentrar na detecção em tempo de execução dos mecanismos de persistência e padrões incomuns de tráfego RPC, em vez de confiar apenas em assinaturas de arquivos estáticos.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
