Hackers Exploit CVE-2025-55182 to Breach 766 Next.js Hosts, Steal Credentials

A large-scale credential harvesting operation has been observed exploiting the React2Shell vulnerability as an initial infection vector to steal database credentials, SSH private keys, Amazon Web Services (AWS) secrets, shell command history, Stripe API keys, and GitHub tokens at scale. Cisco Talos has attributed the operation to a threat cluster it tracks as UAT-10608.

Una operación masiva de robo de credenciales ha sido detectada explotando la vulnerabilidad React2Shell como vector de infección inicial para sustraer credenciales de bases de datos, claves privadas SSH, secretos de Amazon Web Services (AWS), historial de comandos del shell, claves API de Stripe y tokens de GitHub a gran escala.

Cisco Talos ha atribuido la operación a un clúster de amenazas que rastrea como UAT-10608. Al menos 766 hosts de múltiples regiones geográficas y proveedores de nube han sido comprometidos como parte de la actividad.

Tras la intrusión, UAT-10608 utiliza scripts automatizados para extraer y exfiltrar credenciales de diversas aplicaciones, que luego son enviadas a su servidor de comando y control (C2).

Los investigadores de seguridad Asheer Malhotra y Brandon White explicaron en un informe compartido con The Hacker News antes de su publicación: 'El C2 aloja una interfaz gráfica web titulada "NEXUS Listener" que permite ver la información robada y obtener información analítica mediante estadísticas precompiladas sobre las credenciales recolectadas y los hosts comprometidos'.

Se evalúa que la campaña apunta a aplicaciones Next.js vulnerables a CVE-2025-55182 (puntuación CVSS: 10.0), una falla crítica en React Server Components y Next.js App Router que podría resultar en ejecución remota de código, como vector de acceso inicial, y luego despliega el marco de recolección NEXUS Listener.

Esto se logra mediante un dropper que despliega un script de recolección de múltiples fases que recopila varios detalles del sistema comprometido:

Variables de entorno
Entorno parseado en JSON desde el runtime JS
Claves privadas SSH y authorized_keys
Historial de comandos del shell
Tokens de cuentas de servicio de Kubernetes
Configuraciones de contenedores Docker (contenedores en ejecución, sus imágenes, puertos expuestos, configuraciones de red, puntos de montaje y variables de entorno)
Claves API
Credenciales temporales asociadas a roles IAM consultando el Servicio de Metadatos de Instancia para AWS, Google Cloud y Microsoft Azure
Procesos en ejecución

La empresa de ciberseguridad indicó que la amplitud del conjunto de víctimas y el patrón de selección indiscriminado son consistentes con escaneos automatizados, probablemente utilizando servicios como Shodan, Censys o escáneres personalizados, para identificar implementaciones de Next.js accesibles públicamente y sondearlas en busca de la vulnerabilidad.

El marco central es una aplicación web protegida por contraseña que pone todos los datos robados a disposición del operador a través de una interfaz gráfica que incluye capacidades de búsqueda para examinar la información.

La aplicación contiene un listado de varias estadísticas, incluyendo el número de hosts comprometidos y el total de cada tipo de credencial que se extrajo exitosamente de esos hosts. La aplicación web permite al usuario navegar por todos los hosts comprometidos. También muestra el tiempo de actividad de la propia aplicación.

La versión actual de NEXUS Listener es V3, lo que indica que la herramienta ha pasado por iteraciones de desarrollo sustanciales antes de llegar a la etapa actual.

Talos, que pudo obtener datos de una instancia no autenticada de NEXUS Listener, informó que contenía claves API de Stripe, plataformas de inteligencia artificial (OpenAI, Anthropic y NVIDIA NIM), servicios de comunicación (SendGrid y Brevo), junto con tokens de bots de Telegram, secretos de webhook, tokens de GitHub y GitLab, cadenas de conexión de bases de datos y otros secretos de aplicaciones.

La extensa operación de recopilación de datos resalta cómo los actores maliciosos podrían aprovechar el acceso a hosts comprometidos para orquestar ataques secundarios. Se recomienda a las organizaciones auditar sus entornos para aplicar el principio de privilegio mínimo, habilitar el escaneo de secretos, evitar la reutilización de pares de claves SSH, implementar IMDSv2 en todas las instancias de AWS EC2 y rotar credenciales si se sospecha de un compromiso.

Más allá del valor operativo inmediato de las credenciales individuales, el conjunto de datos agregado representa un mapa detallado de la infraestructura de las organizaciones víctimas: qué servicios ejecutan, cómo están configurados, qué proveedores de nube utilizan y qué integraciones de terceros están implementadas. Esta inteligencia tiene un valor significativo para elaborar ataques secundarios dirigidos, campañas de ingeniería social o vender el acceso a otros actores de amenazas.