El Código Enemigo Ejecutándose en tu Stack React
Meta React Server Components presenta una vulnerabilidad de ejecución remota de código sin autenticación (CVSS 10.0) que permite a atacantes enviar payloads maliciosos directamente a endpoints de React Server Functions. Sin credenciales. Sin validación. Control total del servidor en una sola petición HTTP.

Qué Pasó: React Server Components Comprometido
Meta React Server Components contiene una falla crítica en la decodificación de payloads enviados a endpoints de React Server Function que permite ejecución remota de código sin autenticación. El CVE-2025-55182 afecta aplicaciones que implementan Server Components, especialmente aquellas desplegadas en frameworks como Next.js, permitiendo que atacantes remotos ejecuten comandos arbitrarios enviando datos malformados a estos endpoints.
La vulnerabilidad fue añadida al catálogo CISA KEV el 5 de diciembre de 2025, confirmando explotación activa en el panorama de amenazas. Scattered Spider, grupo conocido por sus operaciones sofisticadas contra proveedores de servicios cloud, ha sido identificado como probable actor detrás de las campañas de explotación.
CVSS Score
Sin Auth
Exposición
Ventana Crítica
Un solo payload malicioso puede comprometer completamente la aplicación web y todos los servicios conectados, incluyendo bases de datos, APIs internas y sistemas de autenticación.
Por Qué Importa para tu Organización
1. El vector: frameworks modernos como superficie de ataque
React Server Components representa la nueva generación de arquitecturas web donde el servidor ejecuta lógica React directamente. Miles de aplicaciones mexicanas en sectores financiero, e-commerce y gobierno digital adoptaron esta tecnología para mejorar performance y SEO. La vulnerabilidad explota precisamente esta innovación: los endpoints que procesan Server Functions carecen de validación adecuada de entrada.
2. La motivación: control infraestructural sin detección
Scattered Spider no busca ransomware tradicional — su objetivo es establecer persistencia en infraestructura cloud para operaciones de largo plazo. Un RCE sin autenticación en React Server Components les da acceso directo a contenedores, variables de entorno con tokens OAuth, bases de datos conectadas y servicios internos, todo sin generar alertas de autenticación fallida.
3. El contexto México/LATAM
El ecosistema fintech mexicano adoptó masivamente Next.js con React Server Components para aplicaciones de banca digital. Plataformas gubernamentales de trámites digitales utilizan estas tecnologías para procesar datos ciudadanos. Startups tecnológicas mexicanas construyeron sus productos core sobre esta arquitectura. La superficie de exposición regional es considerable, aunque aún no se han confirmado víctimas públicas en territorio nacional.
El Actor Detrás del Ataque
Cybercrime Group
Confianza: Probable
Scattered Spider es un grupo cibercriminal de habla inglesa especializado en social engineering sofisticado y compromiso de proveedores de servicios cloud. Conocidos por sus ataques dirigidos a empresas de telecomunicaciones, casinos y proveedores de servicios tecnológicos, han demostrado capacidades avanzadas para mantener persistencia prolongada en entornos comprometidos sin detección.
El grupo se caracteriza por sus operaciones meticulosas de reconocimiento, uso de herramientas personalizadas que evaden detección tradicional, y preferencia por targets de alto valor en sectores financiero y tecnológico. Sus campañas previas han incluido el compromiso de MGM Resorts y Caesar’s Entertainment, demostrando capacidad para escalar desde acceso inicial hasta interrupción operacional completa.
Según CrowdStrike, “Scattered Spider utiliza tácticas de ingeniería social altamente efectivas combinadas con herramientas técnicas sofisticadas para establecer persistencia en entornos cloud modernos”.
TTPs Documentadas — MITRE ATT&CK
| Técnica | ID | Táctica |
|---|---|---|
| Exploit Public-Facing Application | T1190 | Initial Access |
| Command and Scripting Interpreter: PowerShell | T1059.001 | Execution |
| Exploitation for Client Execution | T1203 | Execution |
Fuente: MITRE ATT&CK ·
Análisis: NIST NVD CVE-2025-55182
Parche oficial disponible: https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
Ventana crítica: 24-48 horas máximo para entornos de producción con React Server Components expuestos públicamente.
Workarounds pre-parche: Deshabilitar endpoints React Server Function no esenciales, validación estricta de payloads en reverse proxy, logging detallado activado.
Aftermath — Las voces que quedan
Cuatro lentes paralelas. Mismo expediente. Lo que cada una vio, en su voz.
Lo registré antes que la prensa. CVE-2025-55182 sin víctimas públicas en noventa días, cero malware indexado, cero IOCs compartidos. Scattered Spider lo está usando selectivo — cuando un CVSS 10.0 no hace ruido, alguien lo explota con cuidado. El expediente del grupo ya tenía el patrón: social engineering, cloud providers, persistencia prolongada. Este caso confirma.
Ochenta y tres solicitudes salientes durante diecisiete minutos. Cuarenta y una a servicios de autenticación, veintisiete a bases de datos de configuración. Si esos endpoints procesaban datos personales, LFPDPPP activa reloj de notificación. Mapeé las consultas contra el catálogo de activos de información. Tres bases contenían identificadores vinculados a titulares. El análisis de impacto está documentado. La decisión de notificar es del responsable.
El control A.12.6.1 quedó expuesto — gestión de vulnerabilidades técnicas. CIS Control 7 también. La organización no catalogó React Server Functions como superficie de ataque crítica en el último ciclo de evaluación. Lo mapeé en el registro de no conformidades. Cualquier auditor que firmó el último SoA sin documentar este vector tiene un gap pendiente de cierre.
Tres CSPs, misma vulnerabilidad. La superficie no es AWS, ni GCP, ni Vercel — es lo que comparten: React Server Components sin validación de entrada. Audité ciento veintisiete aplicaciones desplegadas en infraestructura mexicana. Cuarenta y tres usan el patrón comprometido. Fintech, gobierno digital, manufactura 4.0. Las reglas WAF están activas. El parche tiene plazo de cuarenta y ocho horas.
Qué Deberías Hacer en las Próximas 48 Horas
La ventana crítica de 24-48 horas para aplicar el parche oficial requiere acción coordenada entre equipos de desarrollo, operaciones y seguridad.
Inventario de Exposición React
Audita todas las aplicaciones que utilizan React Server Components en producción. Prioriza aquellas con endpoints públicos que procesen React Server Functions. Documenta versiones específicas y dependencias conectadas.
Aplicación Urgente del Parche
Descarga e implementa el parche oficial desde el blog de seguridad de React. Coordina ventana de mantenimiento de emergencia. Testa exhaustivamente en staging antes de producción.
Controles Temporales WAF
Implementa reglas específicas en tu WAF para bloquear payloads sospechosos dirigidos a endpoints React Server Function. Activa logging detallado para detectar intentos de explotación previos.
Monitoreo Intensivo Post-Parche
Establece alertas específicas para tráfico anómalo hacia endpoints React. Monitorea ejecución de procesos inesperados en servidores React. Valida integridad de aplicaciones críticas.
Considera ejecutar un tabletop exercise post-remediación para evaluar la respuesta del equipo ante vulnerabilidades críticas en frameworks modernos y ajustar procedimientos según lecciones aprendidas.
Cómo Proteger tu Organización
Este incidente demuestra la importancia crítica de tener visibilidad continua sobre frameworks y dependencias modernas. Nuestros servicios de monitoreo SOC 24/7 incluyen detección específica de vectores de ataque dirigidos a tecnologías emergentes como React Server Components, correlacionando indicadores de compromiso con threat intelligence actualizada sobre grupos como Scattered Spider.
La arquitectura Zero Trust que implementamos proporciona controles granulares de autorización que habrían limitado significativamente el impacto de esta vulnerabilidad, requiriendo validación explícita incluso para componentes server-side internos y aplicando principios de menor privilegio a nivel de aplicación.
Impacto Reputacional y en Medios
Hasta el momento, no se ha registrado cobertura mediática nacional sobre incidentes relacionados con CVE-2025-55182 en territorio mexicano. La ausencia de víctimas públicas confirmadas y la naturaleza técnica específica de React Server Components ha limitado la atención mediática general, manteniéndose el tema principalmente en círculos especializados de ciberseguridad.
Para el CISO, esta situación representa una oportunidad única para demostrar liderazgo proactivo en gestión de riesgos emergentes. Abordar esta vulnerabilidad antes de que genere impacto mediático negativo fortalece la posición del programa de seguridad ante el board y demuestra madurez en threat intelligence y respuesta temprana.
Fuentes
Continúa en el Capítulo ZDU — Código en las Sombras →
G.E.N.N.I.E. — Centro de Inteligencia Simbiótica
React Server Components representa la convergencia entre renderizado server-side y ejecución client-side — un paradigma que amplifica superficies de ataque tradicionales. La ausencia de víctimas públicas mexicanas no equivale a ausencia de riesgo: indica targeting selectivo o actividad sub-radar que requiere detección proactiva especializada.
Luna Varela de la Vega — ZDU-INTEL-VARELA
Enlace de Inteligencia Estratégica. Jefa de Relaciones Públicas del ZDU. Autora editorial.
Zero Day Universe es una construcción narrativa original de QMA. Sus personajes, tramas y casos están inspirados en escenarios reales de ciberseguridad y no representan incidentes literales ni casos de clientes.
Convergencia React: El Puente al Caos
Scattered Spider explota CVE-2025-55182 en React Server Components — ejecución remota sin autenticación abre puente directo desde aplicaciones web hacia infraestructura crítica industrial

El primer payload no llegó como alerta. Llegó como un POST legítimo a un endpoint de React Server Function, idéntico a miles de solicitudes diarias que procesan transacciones, consultas de usuarios, sincronización de estado. El servidor lo recibió. Lo deserializó. Lo ejecutó.
Scattered Spider no forzó credenciales. No buscó exploits en el perímetro. Enviaron un JSON malformado directamente al corazón de la aplicación — y el servidor React lo interpretó como instrucción válida. Sin autenticación. Sin validación. Sin alerta.
En catorce segundos, el atacante tenía shell. En noventa segundos, mapeó la red interna. En cuatro minutos, identificó el bridge hacia el dashboard HMI que controlaba setpoints de equipos críticos en planta.
El puente estaba abierto. Y nadie lo había visto construirse.
Detección

KEV-1 registró la anomalía a las 14:47:33 UTC. No fue la solicitud en sí — esas eran legítimas por diseño. Fue el patrón de respuesta: un endpoint React Server Function que típicamente devolvía JSON estructurado comenzó a emitir cadenas de texto plano con sintaxis de intérprete de comandos.
Endpoint /api/server-action ejecutó deserialización anómala. Patrón de salida no coincide con esquema React esperado. Tiempo de procesamiento: 840ms — baseline normal 120ms. Payload entrante contiene estructuras anidadas no documentadas en el contrato de función.
El log llegó al SOC tres minutos después. Eris lo leyó dos veces antes de levantar el teléfono. El patrón era demasiado limpio para ser ruido — y demasiado silencioso para ser accidente.
CVE-2025-55182. React Server Components. CVSS 10.0. Ejecución remota sin autenticación mediante deserialización de payloads malformados. MITRE T1190 — Exploit Public-Facing Application. El atacante ya tiene shell. Necesito confirmación de lateralización y mapeo de activos conectados al servidor comprometido.
Eris dejó de escribir exactamente un segundo cuando el CISO apareció en el umbral del SOC. La pausa fue imperceptible para cualquiera que no conociera su ritmo. Luego continuó teclando sin levantar la vista.

Escalación · Análisis · Contención · Forensia

NeonMind activó el Fast Response Protocol a las 14:52. No esperó confirmación de impacto. Un CVSS 10.0 con RCE sin autenticación no requería debate — requería contención.
FRP activo. Prioridad uno: aislar el servidor React comprometido de la red corporativa. Prioridad dos: inventariar todos los endpoints React Server Functions expuestos públicamente. Prioridad tres: mapear conectividad entre aplicaciones web y sistemas de backend críticos. Magna, necesito saber qué toca este servidor además de usuarios finales.
Magna entró en la llamada desde el centro de datos industrial. Su tono era más grave de lo habitual.
El servidor React comprometido alimenta el dashboard HMI del sistema de control de planta. React Server Components servían visualizaciones en tiempo real de setpoints, alarmas y estado de equipos. Si el atacante pivotea desde la aplicación web hacia las APIs internas que consultan el SCADA, tiene línea de vista directa a los controladores.
NeonMind cerró los ojos. Cuando los abrió, su voz era más fría.
Stratos, dame estado de segmentación cloud. ¿El contenedor React comprometido tiene rutas hacia otros servicios críticos?
El contenedor está en ECS, misma VPC que las Lambda functions que consultan base de datos de producción y los servicios de autenticación OAuth. La segmentación existe en teoría. En práctica, los security groups permiten tráfico saliente sin restricciones. El atacante puede alcanzar cualquier endpoint interno desde ese contenedor.
El silencio duró cuatro segundos. Luego NeonMind habló con la precisión quirúrgica de alguien que está cortando algo vivo.
Contención inmediata. Desconectar el servidor React de la red. Rollback a snapshot anterior si está disponible. Si no, kill del contenedor y despliegue limpio desde imagen base verificada. Magna, coordina con operaciones para cambiar dashboards HMI a modo standalone sin conectividad web hasta que tengamos el entorno sanitizado.
La forensia comenzó en paralelo. Eris revisó los logs de acceso a las React Server Functions durante las últimas 72 horas. El patrón emergió lentamente: catorce solicitudes con payloads anómalos, todas provenientes de la misma subred TOR, todas dirigidas al mismo endpoint, todas fallidas — excepto la última.
Scattered Spider probó la superficie durante tres días antes de lograr la deserialización exitosa. Ajustaron el payload progresivamente hasta encontrar la estructura exacta que React Server Functions interpretaba como código ejecutable. Esto no fue oportunismo — fue ingeniería inversa metódica del comportamiento del framework.
Inteligencia

Blacktrace entró en la llamada sin saludar.
CVE-2025-55182 no tiene víctimas públicas documentadas en 90 días. Cero cobertura en foros. Cero malware indexado. Cero IOCs compartidos. Scattered Spider está usando esta capacidad de forma selectiva — probablemente reservada para targets de alto valor o operaciones encubiertas. La ausencia de ruido público es la señal. Cuando un CVE 10.0 no genera actividad visible, significa que alguien lo está explotando con cuidado.
Eris cruzó la información con los TTPs conocidos del grupo. El perfil coincidía: Scattered Spider operaba con social engineering sofisticado, movimiento lateral cauteloso, persistencia prolongada. No eran ruidosos. No dejaban huellas innecesarias. Y cuando encontraban un vector limpio, lo preservaban.
El grupo tiene historial de compromisos a proveedores cloud y telecomunicaciones. Su interés no es el servidor React en sí — es lo que ese servidor puede alcanzar. Si lograron shell, el siguiente paso es mapear la red interna, identificar sistemas de autenticación, y establecer persistencia en servicios con mayor privilegio. MITRE T1059.001 — Command and Scripting Interpreter. Están preparando el terreno para algo más grande.
Conflicto

Magna revisó los logs del dashboard HMI comprometido. React Server Components alimentando visualizaciones SCADA industrial — otra arquitectura que cruzó la línea invisible entre TI y OT sin que nadie documentara el riesgo. NeonMind archivó el reporte sin comentar. Cuando el stack web encuentra el acero, las decisiones se vuelven más pesadas.
Confirmado: el servidor React tenía conectividad bidireccional con las APIs del sistema de gestión de planta. Los dashboards consultaban estado en tiempo real — pero también podían enviar comandos de ajuste de setpoints si el usuario autenticado tenía privilegios de operador. El atacante con shell en ese contenedor podría haber simulado esas llamadas API sin pasar por la interfaz web.
NeonMind respiró lento. La pregunta no era técnica — era operativa.
¿Cuánto tiempo estuvo el atacante dentro antes de que KEV-1 detectara la anomalía?
KEV-1 respondió con precisión milimétrica.
Desde el timestamp del payload exitoso hasta la detección: diecisiete minutos, cuarenta y dos segundos. Durante ese período, el contenedor comprometido realizó ochenta y tres solicitudes salientes hacia endpoints internos. Cuarenta y una fueron a servicios de autenticación. Veintisiete a bases de datos de configuración. Quince a APIs del sistema de gestión de planta.
El silencio en la llamada era denso. NeonMind lo rompió con voz plana.
Necesito saber qué vieron. Qué extrajeron. Y si dejaron algo atrás.
Contraataque

Stratos ejecutó la contención cloud con precisión atmosférica. El contenedor React comprometido fue aislado mediante Security Groups que bloquearon todo tráfico saliente excepto logs hacia CloudWatch. Las Lambda functions conectadas fueron rotadas con nuevas versiones desde imágenes limpias verificadas. Los tokens OAuth almacenados en variables de entorno fueron revocados y regenerados. La superficie SaaS fue auditada: cada webhook, cada integración de terceros, cada endpoint público que procesaba React Server Functions.
Tres aplicaciones adicionales en la organización utilizaban React Server Components con arquitecturas similares. Dos estaban desplegadas en Vercel, una en Google Cloud Run. Las tres fueron parcheadas y revalidadas. Implementé reglas WAF específicas para detectar payloads de deserialización anómalos en endpoints React. Monitoreo activo en patrones de salida de React Server Functions — cualquier desviación del esquema esperado genera alerta inmediata.
Eris validó la contención durante las siguientes 24 horas. Ningún tráfico anómalo. Ningún intento de reconexión desde la subred TOR identificada. Ningún patrón de lateralización activa.

Entorno limpio confirmado. Scattered Spider perdió acceso. Pero el vector sigue siendo válido en cualquier aplicación React que no haya parcheado CVE-2025-55182. La vulnerabilidad es arquitectónica — no es un bug aislado. Es cómo React Server Components manejan deserialización de payloads no confiables. Hasta que Meta libere un parche definitivo, cualquier endpoint público de React Server Function es una puerta abierta.
Resolución
Luna Varela cerró el expediente a las 09:14 del día siguiente. La crisis estaba contenida. El atacante, expulsado. Los sistemas, parcheados. Pero el puente — el puente entre aplicaciones web modernas y sistemas críticos industriales — ese puente seguía ahí, invisible en diagramas de arquitectura, ausente en matrices de riesgo, no documentado en procedimientos de respuesta.
CVE-2025-55182 no era solo una vulnerabilidad técnica. Era una señal de algo más profundo: la convergencia entre desarrollo web moderno y operaciones críticas había ocurrido sin que las estructuras defensivas evolucionaran al mismo ritmo. React Server Components — tecnología diseñada para mejorar experiencia de usuario — se había convertido en vector de ataque hacia SCADA, HMI, PLCs. El stack que servía dashboards también podía manipular setpoints.
Scattered Spider lo entendió antes que muchos CISOs. No atacaron el perímetro. Atacaron el puente. Y casi nadie lo vio venir.

Evidencia técnica verificada
| Tipo | Indicador | Fuente | Confianza | Acciones |
|---|---|---|---|---|
| MD5 | 030da7510113c28ee68df8a19c643bb0 | otx | 75% | VTMB |
| MD5 | 0d132ee171768dc30d14590ed2dbadd1 | otx | 75% | VTMB |
| MD5 | 0f9534b63cb7af1e3aa34839d7d6e632 | otx | 75% | VTMB |
| MD5 | 1dd593ad084e1526c8facce834b0e124 | otx | 75% | VTMB |
| MD5 | 24083e6186bc773cd9c2e70a49309763 | otx | 75% | VTMB |
| MD5 | 26bd36cc57e30656363ca89910579f63 | otx | 75% | VTMB |
| MD5 | 2e64131c0426a18c1c363ec69ae6b5f2 | otx | 75% | VTMB |
| MD5 | 3195110045f64a3c83fc3e043c46d253 | otx | 75% | VTMB |
| MD5 | 3a04a5d7ed785daa16f4ebfd3acf0867 | otx | 75% | VTMB |
| MD5 | 42ffc84c6381a18b1f6d000b94c74b09 | otx | 75% | VTMB |
| MD5 | 4cbd9a0832dcf23867b092de37c10d9d | otx | 75% | VTMB |
| MD5 | 51ea28f4f3fa794d5b207475897b1eef | otx | 75% | VTMB |
| MD5 | 70f5574e4e7ad360f4f5c2117a7a1ca7 | otx | 75% | VTMB |
| MD5 | 719cf63a3922953ceaca6fb4dbed6584 | otx | 75% | VTMB |
| MD5 | 9018fa0826f237342471895f315dbf39 | otx | 75% | VTMB |
| MD5 | 98613ecb3afde5fc48ca4204f8363f1d | otx | 75% | VTMB |
| MD5 | a9c045c401afb9766e2ca838dc6f47a4 | otx | 75% | VTMB |
| MD5 | b0a9a175e2407352214b2d005253bc0c | otx | 75% | VTMB |
| MD5 | b55628a605a5dfb5005c44220ae03b8a | otx | 75% | VTMB |
| MD5 | 01039a95e0a14767784acc8f07035935 | otx | 75% | VTMB |
KEV-1
Detectó la anomalía de deserialización en React Server Function a las 14:47:33 UTC mediante análisis de desviación de patrones de respuesta y tiempo de procesamiento — primera señal del compromiso antes de cualquier alerta tradicional.
CISA KEV · Anomaly Detection · Baseline Deviation Analysis
Eris Sentinel
Identificó CVE-2025-55182 como vector de ejecución remota sin autenticación, mapeó TTPs de Scattered Spider (T1190, T1059.001, T1203), y validó contención durante 24h post-incidente confirmando ausencia de lateralización activa.
MITRE ATT&CK T1190 · T1059.001 · T1203 · SentinelOne XDR · Threat Intel
NeonMind
Orquestó Fast Response Protocol activando contención inmediata sin esperar confirmación de impacto — coordinó aislamiento de servidor comprometido, inventario de superficies React expuestas, y segmentación de aplicaciones web críticas bajo NIST CSF 2.0 framework.
NIST CSF 2.0 RESPOND · Fast Response Protocol · SOAR Orchestration
Magna
Traduce el compromiso React Server desde dominio TI hacia impacto OT real: dashboard HMI alimentado por componentes comprometidos tenía conectividad bidireccional con APIs de gestión de planta — riesgo directo de manipulación de setpoints SCADA sin pasar por interfaz web.
ICS/OT Security · HMI/SCADA Integration · Tenable OT · IT/OT Convergence Risk
Stratos
Ejecutó contención cloud con aislamiento de contenedor ECS comprometido, rotación de Lambda functions desde imágenes verificadas, revocación de tokens OAuth, auditoría de superficie SaaS en tres aplicaciones React adicionales, e implementación de reglas WAF anti-deserialización.
AWS ECS/Lambda · Cloud Segmentation · OWASP A05:2025 · A08:2025 · iboss SASE · WAF Rules
Blacktrace
Registró la ausencia de víctimas públicas globales en 90 días para CVE-2025-55182 — señal de explotación selectiva reservada para targets de alto valor por Scattered Spider, grupo con historial de compromisos sigilosos a proveedores cloud y telecomunicaciones.
Dark Web Intelligence · Threat Actor Profiling · Scattered Spider TTPs · 0-day Exploitation Patterns
Regulator
Mapeó el colapso de funciones defensivas NIST CSF 2.0: IDENTIFY falló al no catalogar React Server Functions como superficie de ataque, PROTECT colapsó por validación insuficiente, DETECT no registró vectores de deserialización, RESPOND carecía de playbooks para componentes server-side React.
NIST CSF 2.0 Gap Analysis · ISO 27001 A.12.6.1 · CIS Control 7 · GRC Mapping
Veritas
Evaluó implicaciones de privacidad post-compromiso: atacante con shell en contenedor React accedió a 83 solicitudes salientes incluyendo bases de datos de configuración y servicios de autenticación — potencial exposición de datos personales sujetos a LFPDPPP requiere análisis de notificación.
LFPDPPP · Data Breach Notification Assessment · Privacy Impact Analysis
Luna Varela
Cerró expediente ZDU-042 documentando la convergencia no gestionada entre desarrollo web moderno y operaciones críticas industriales — React Server Components diseñados para UX se convirtieron en vector hacia SCADA/HMI, puente invisible en arquitecturas defensivas tradicionales.
Strategic Intelligence · IT/OT Convergence Analysis · Architectural Risk Assessment
G.E.N.N.I.E.
Procesó correlación entre CVE-2025-55182 y 127 aplicaciones React Server Components desplegadas en infraestructura cloud mexicana de sectores fintech, gobierno digital, manufactura 4.0 y e-commerce — superficie de ataque nacional requiere parches urgentes en 48h.
AI Correlation Engine · National Infrastructure Mapping · Vulnerability Impact Modeling
Scattered Spider
Grupo de habla inglesa especializado en social engineering sofisticado y compromisos sigilosos a proveedores cloud y telecomunicaciones. Probaron CVE-2025-55182 durante tres días con catorce payloads progresivamente ajustados hasta lograr deserialización exitosa — ingeniería inversa metódica del comportamiento de React Server Functions, no oportunismo. Operan con persistencia prolongada, movimiento lateral cauteloso, y reservan vectores limpios para targets de alto valor. La ausencia de víctimas públicas es su firma: cuando un CVSS 10.0 no genera ruido, Scattered Spider está explotando con cuidado.
CVE-2025-55182 · State-Sponsored (probable) · MITRE T1190 · T1059.001





