UAT-10608 compromete 766 hosts Next.js en campaña masiva de robo de credenciales

Cisco Talos ha revelado una operación de recolección automatizada de credenciales a gran escala ejecutada por un cluster de amenazas identificado como UAT-10608, que ha logrado comprometer al menos 766 servidores en múltiples regiones geográficas y proveedores de infraestructura cloud.

La campaña aprovecha la vulnerabilidad crítica CVE-2025-55182, conocida como React2Shell, que afecta a aplicaciones construidas con Next.js y React Server Components, permitiendo ejecución remota de código sin autenticación previa. Los atacantes despliegan posteriormente un framework de exfiltración denominado NEXUS Listener, diseñado para extraer sistemáticamente credenciales, claves privadas SSH, tokens de servicios cloud y secretos de entorno.

La vulnerabilidad inicial, con un CVSS de 10.0 la máxima puntuación posible, reside en la deserialización insegura de payloads en los endpoints de Server Functions expuestos por React Server Components. Según el análisis detallado de Cisco Talos, los atacantes identifican aplicaciones Next.js públicamente accesibles mediante escaneo automatizado, probablemente aprovechando servicios como Shodan o Censys y envían solicitudes HTTP maliciosas que desencadenan la ejecución de código arbitrario en el proceso Node.js del servidor. Una vez obtenido el acceso inicial, un script de múltiples fases toma el control sin intervención manual adicional.

El script de recolección opera mediante fases secuenciales que recorren el sistema comprometido, extrae variables de entorno de procesos en ejecución y del runtime de JavaScript, cosecha claves privadas SSH y archivos authorized_keys, captura el historial de comandos de shell, consulta las APIs de metadatos de AWS, GCP y Azure para obtener credenciales temporales asociadas a roles IAM, y enumera configuraciones de contenedores Docker junto con tokens de cuentas de servicio de Kubernetes.

Los datos exfiltrados se transmiten al servidor de comando y control, donde una interfaz web con capacidades de búsqueda y estadísticas permite al operador visualizar y filtrar la información robada.

Las cifras expuestas por una instancia de NEXUS Listener descubierta por Talos revelan la magnitud del daño: de los 766 hosts comprometidos, aproximadamente 701, el 91.5% contenían credenciales de bases de datos, mientras que 599, el 78.2% expusieron claves privadas SSH. Adicionalmente, se identificaron 196 hosts con credenciales de AWS, 87 con claves API activas de Stripe para procesamiento de pagos y 66 con tokens de GitHub. En total, más de 10,000 archivos fueron recolectados, incluyendo tokens para plataformas de inteligencia artificial como OpenAI, Anthropic y NVIDIA NIM, así como secretos de servicios de comunicación como SendGrid y Telegram.

El conjunto de datos agregados representa un mapa detallado de la infraestructura de las organizaciones afectadas: qué servicios ejecutan, cómo están configurados, qué proveedores cloud utilizan y qué integraciones de terceros tienen implementadas. Esta inteligencia tiene un valor significativo para diseñar ataques de seguimiento dirigidos, campañas de ingeniería social o para vender el acceso a otros actores de amenazas en mercados clandestinos.

Las credenciales de Stripe y los tokens de GitHub, en particular, podrían facilitar fraude financiero directo o la inserción de código malicioso en pipelines de despliegue continuo.

Las organizaciones que utilizan Next.js deben actualizar inmediatamente sus aplicaciones a versiones parcheadas, auditar sus entornos para verificar compromisos previos, rotar todas las credenciales y tokens potencialmente expuestos, implementar IMDSv2 en instancias EC2 de AWS para limitar el acceso a metadatos, y restringir el principio de menor privilegio en todas las cuentas de servicio. La naturaleza automatizada e indiscriminada de esta campaña sugiere que cualquier aplicación vulnerable públicamente expuesta ha sido probablemente sondeada.