React2Shell: veicolati EtherRAT e altri malware in attività state-sponsored e cybercrime

Durante un recente attacco basato sullo sfruttamento della vulnerabilità critica CVE-2025-55182 (nota come React2Shell), ricercatori di sicurezza hanno identificato un implant inedito denominato EtherRAT avente caratteristiche sofisticate, quali la comunicazione C2 tramite smart contract di Ethereum, l’implementazione di cinque meccanismi di persistenza Linux indipendenti e il download del proprio runtime Node.js da nodejs[.]org.

Il malware è stato recuperato il 5 dicembre 2025 da un’applicazione Next.js compromessa, appena due giorni dopo la divulgazione pubblica di React2Shell, una Deserialization of Untrusted Data nei React Server Components (RSC) di Meta che consente l’esecuzione remota di codice non autenticata attraverso una singola richiesta HTTP, colpendo l’ecosistema React 19 e i framework che lo implementano, come Next.js 15.x e 16.x.

Ulteriori analisti hanno documentato uno sfruttamento più ampio identificando quattro famiglie malware distinte. Oltre allo script gfdsgsdfhfsd_ghsfdgsfdgsdfg.sh usato per EtherRAT, ne hanno recuperati altri tre: tsd.sh, che stabilisce persistenza via /etc/cron.hourly/ con fallback rc.local; init.sh, che scarica un payload da un bucket AWS S3 installandolo in /usr/infju/system_os e stabilendo la persistenza con systemd e cron per un riavvio forzato quotidiano; e b.sh, che funge da loader con compressione gzip e codifica Base64.

Mentre i primi ricercatori associano con alta confidenza EtherRAT ad attaccanti nordcoreani, sulla base di sovrapposizioni significative con la campagna Contagious Interview e runtime Node.js caratteristici del malware BeaverTail (entrambi associati a Lazarus Group), questi ultimi ritengono che i dati siano insufficienti per effettuare un’attribuzione definitiva.

Le prime attività di exploitation hanno rivelato infrastrutture riconducibili agli APT di Pechino Earth Lamia e Jackpot Panda, mentre altri ricercatori ancora hanno documentato deployment di Cobalt Strike, Mirai, Noodle RAT (una backdoor verosimilmente utilizzata da gruppi di lingua cinese impegnati in attività sia di spionaggio che cybercrime), BPFDoor (attribuita a Red Menshen), Auto-Color, oltre a quello di SNOWLIGHT e VShell coerente con le attività di UNC5174 (CL-STA-1015), un Initial Access Broker presumibilmente legato al Ministero della Sicurezza di Stato (MSS).

Inoltre, già nelle ore immediatamente successive alla divulgazione pubblica di React2Shell sono state osservate operazioni di sfruttamento opportunistiche e su larga scala contro applicazioni Next.js esposte, caratterizzate dall’invio di payload automatizzati finalizzati alla distribuzione di loader multi-stadio.

L’analisi di queste ultime evidenzia una rapida diversificazione dei payload e l’assenza di targeting selettivo, indicativa di una fase iniziale di mass exploitation condotta da attaccanti distinti. In conclusione, il panorama configura attività multi-avversario dove gruppi nordcoreani, cinesi e attaccanti cybercrime hanno weaponizzato rapidamente CVE-2025-55182 per obiettivi distinti.

State-sponsored: nuove attività associate a Pechino e Teheran

La CISA, la NSA, e il Canadian Centre for Cyber Security ritengono che avversari finanziati da Pechino stiano utilizzando il malware BRICKSTORM, in passato attribuito a UNC5221, per garantirsi la persistenza nei server VMware vSphere delle vittime. Le organizzazioni target operano principalmente nei settori dei servizi e delle strutture governative e dell’informatica. La backdoor ValleyRAT, precedentemente associata ad avversari cinesi come Void Arachne, è stata oggetto di approfondita analisi che ha rivelato la sua trasformazione da strumento APT a un framework malware accessibile pubblicamente.

Gli analisti hanno scoperto il builder, trapelato diversi mesi fa, e la struttura di sviluppo della minaccia. L’ampia diffusione di entrambi fa ipotizzare nell’immediato futuro un uso sempre più vasto e differenziato del malware, oltre i confini degli APT finanziati da Pechino. Spostandoci in Iran, MuddyWater ha condotto campagne di spionaggio contro target in Turchia, Israele e Azerbaigian sfruttando la backdoor inedita UDPGangster. Una delle e-mail di phishing identificate finge di provenire dal Ministero degli Affari Esteri della Repubblica Turca di Cipro del Nord e invita i destinatari a un seminario online intitolato “Presidential Elections and Results”. L’attribuzione all’APT di Teheran è rafforzata dal rilevamento di un IP condiviso da UDPGangster con la backdoor Phoenix, già associata a questo avversario.

Italia: offensive cybercrime mirano al Paese

Durante l’ultima settimana sono state tracciate diverse campagne di phishing con target Italia. Tra queste figura un’operazione di thread hijacking rivolta a organizzazioni con sede nel territorio nazionale, finalizzata alla realizzazione di frodi finanziarie di tipo Business Email Compromise (BEC). Un’altra, invece, sfrutta account e-mail compromessi di utenti appartenenti alla Pubblica Amministrazione (PA) per colpire altri utenti della PA.

Le vittime sono indirizzate su una pagina reale di Figma che richiede l’accesso tramite e-mail o autenticazione Google. Infine, un’altra campagna prevede l’invio di un’e-mail con oggetto “R: Urgente – Elenco dei borsisti”, che indirizza i destinatari a un falso portale del Ministero dell’Università e della Ricerca (MUR) con l’obiettivo di esfiltrare le credenziali di studenti e dipendenti di diversi atenei italiani.

Passando al panorama ransomware, LockBit Team ha rivendicato sul proprio sito dei leak l’attacco a Milano Ristorazione S.p.A. del 24 novembre 2025, oltre alla compromissione di Iscot Italia S.p.A., specializzata in pulizie tecniche, manutenzioni e logistica industriale, e Comune di Balmuccia (VC). L’operatore DATACARRY ha reclamato violazione dell’azienda di moda Camomilla Italia; mentre Qilin Team della società italiana di logistica e trasporti specializzata in merci fredde Capuano Distribuzione Fresco.

Weekly Threats è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor attivi a livello globale, realizzato dal nostro team di Threat Intelligence & Response.

La squadra è composta da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Attraverso il monitoraggio costante di minacce cyber ed eventi geopolitici, forniamo ad aziende e PA informazioni utili per anticipare gli attacchi e comprenderne la portata, offrendo supporto affidabile in caso di incidente informatico.

Quello che leggi ogni settimana è solo una parte del nostro lavoro: scopri di più sui nostri servizi di Cyber Threat Intelligence

Iscriviti alla newsletter LinkedIn per ricevere ogni lunedì gli aggiornamenti del Weekly Threats.