Se ha observado una operación de recolección de credenciales a gran escala que explota la vulnerabilidad React2Shell como vector de infección inicial para robar credenciales de bases de datos, claves privadas SSH, secretos de Amazon Web Services (AWS), historial de comandos de shell, claves API de Stripe y tokens de GitHub a escala.
Cisco Talos ha atribuido la operación a un grupo de amenazas que rastrea como UAT-10608. Al menos 766 hosts que abarcan múltiples regiones geográficas y proveedores de nube se han visto comprometidos como parte de la actividad.
“Después del compromiso, UAT-10608 aprovecha scripts automatizados para extraer y exfiltrar credenciales de una variedad de aplicaciones, que luego se publican en su comando y control (C2)”, dijeron los investigadores de seguridad Asheer Malhotra y Brandon White en un informe compartido con The Hacker News antes de su publicación.
“El C2 alberga una interfaz gráfica de usuario (GUI) basada en web titulada ‘NEXUS Listener’ que se puede utilizar para ver información robada y obtener conocimientos analíticos utilizando estadísticas precompiladas sobre las credenciales recopiladas y los hosts comprometidos”.
Se considera que la campaña está dirigida a aplicaciones Next.js que son vulnerables a CVE-2025-55182 (puntuación CVSS: 10.0), una falla crítica en los componentes del servidor React y el enrutador de aplicaciones Next.js que podría resultar en la ejecución remota de código, para el acceso inicial, y luego eliminar el marco de recopilación de NEXUS Listener.
Esto se logra mediante un cuentagotas que procede a implementar un script de recolección de múltiples fases que recopila varios detalles del sistema comprometido:
- Variables ambientales
- Entorno analizado JSON desde el tiempo de ejecución JS
- Claves privadas SSH y claves_autorizadas
- Historial de comandos de Shell
- Tokens de cuenta de servicio de Kubernetes
- Configuraciones de contenedores Docker (contenedores en ejecución, sus imágenes, puertos expuestos, configuraciones de red, puntos de montaje y variables de entorno)
- Claves API
- Credenciales temporales asociadas a roles de IAM consultando el servicio de metadatos de instancia para AWS, Google Cloud y Microsoft Azure
- Procesos en ejecución
La compañía de ciberseguridad dijo que la amplitud del conjunto de víctimas y el patrón de focalización indiscriminada se alinean con el escaneo automatizado, probablemente aprovechando servicios como Shodan, Censys o escáneres personalizados, para identificar implementaciones de Next.js accesibles públicamente y probarlas para detectar la vulnerabilidad.
Un elemento central del marco es una aplicación web protegida con contraseña que pone todos los datos robados a disposición del operador a través de una interfaz gráfica de usuario que presenta capacidades de búsqueda para examinar la información.
“La aplicación contiene una lista de varias estadísticas, incluida la cantidad de hosts comprometidos y el número total de cada tipo de credencial que se extrajo con éxito de esos hosts”, dijo Talos. “La aplicación web permite al usuario navegar a través de todos los hosts comprometidos. También enumera el tiempo de actividad de la propia aplicación”.
La versión actual de NEXUS Listener es V3, lo que indica que la herramienta ha pasado por importantes iteraciones de desarrollo antes de llegar a la etapa actual.
Talos, que pudo obtener datos de una instancia de NEXUS Listener no autenticada, dijo que contenía claves API asociadas con Stripe, plataformas de inteligencia artificial (OpenAI, Anthropic y NVIDIA NIM), servicios de comunicación (SendGrid y Brevo), junto con tokens de bot de Telegram, secretos de webhook, tokens de GitHub y GitLab, cadenas de conexión de bases de datos y otros secretos de aplicaciones.
La extensa operación de recopilación de datos destaca cómo los delincuentes podrían utilizar el acceso a hosts comprometidos como arma para realizar ataques posteriores. Se recomienda a las organizaciones que auditen sus entornos para hacer cumplir el principio de privilegio mínimo, habilitar el escaneo secreto, evitar la reutilización de pares de claves SSH, implementar la aplicación de IMDSv2 en todas las instancias de AWS EC2 y rotar las credenciales si se sospecha que están comprometidas.
“Más allá del valor operativo inmediato de las credenciales individuales, el conjunto de datos agregado representa un mapa detallado de la infraestructura de las organizaciones víctimas: qué servicios ejecutan, cómo están configurados, qué proveedores de nube utilizan y qué integraciones de terceros existen”, dijeron los investigadores.
“Esta inteligencia tiene un valor significativo para diseñar ataques de seguimiento dirigidos, campañas de ingeniería social o vender acceso a otros actores de amenazas”.
