Investigadores de ciberseguridad han descubierto una sofisticada campaña dirigida a aplicaciones **Next.js** vulnerables al **exploit** de **React2Shell** (CVE-2025-55182). La operación, atribuida por **Cisco Talos** a un grupo de amenazas rastreado como UAT-10608, utiliza un framework automatizado llamado **NEXUS Listener** para recolectar credenciales y datos sensibles de sistemas comprometidos. ### Compromiso Generalizado Al menos 766 hosts en varios proveedores de nube y ubicaciones geográficas han sido comprometidos. Los atacantes se centran en recopilar credenciales de bases de datos, credenciales de **Amazon Web Services (AWS)**, claves privadas SSH, claves API, tokens de nube y secretos de entorno. ### NEXUS Listener: La Herramienta Automatizada de Recolección El framework **NEXUS Listener** automatiza el proceso de extracción y exfiltración de datos sensibles. **Cisco Talos** obtuvo acceso a una instancia expuesta del framework, lo que proporcionó información sobre su funcionalidad y el alcance de los datos que se están recolectando.  **El panel principal de Nexus Listener** *Fuente: Cisco Talos* ### Cadena de Ataque: De la Vulnerabilidad a la Exfiltración El ataque comienza con un escaneo automatizado de aplicaciones **Next.js** vulnerables. Una vez que se identifica un objetivo vulnerable, se explota la vulnerabilidad **React2Shell** para desplegar un script de recolección de credenciales de múltiples fases en el directorio temporal estándar. Los datos robados incluyen: * Variables de entorno y secretos (claves API, credenciales de bases de datos, tokens de GitHub/GitLab) * Claves SSH * Credenciales de nube (metadatos de **AWS**/GCP/Azure, credenciales IAM) * Tokens de Kubernetes * Información de Docker/contenedores * Historial de comandos * Datos de procesos y tiempo de ejecución Esta información sensible se exfiltra luego en fragmentos a través de solicitudes HTTP por el puerto 8080 a un servidor de comando y control (C2) que ejecuta el componente **NEXUS Listener**. Los atacantes obtienen una vista detallada de los datos, incluyendo capacidades de búsqueda, filtrado y análisis estadístico.  **Volumen de secretos recolectados en la campaña** *Fuente: Cisco Talos* ### Impacto y Recomendaciones Las credenciales robadas pueden permitir a los atacantes realizar tomas de control de cuentas en la nube, acceder a bases de datos, sistemas de pago y lanzar ataques a la cadena de suministro. Las claves SSH comprometidas facilitan el movimiento lateral dentro de las redes comprometidas. **Cisco** enfatiza las posibles consecuencias regulatorias derivadas de la exposición de información de identificación personal. Para mitigar el riesgo, **Cisco Talos** recomienda lo siguiente: * Aplicar actualizaciones de seguridad para **React2Shell**. * Auditar la exposición de datos del lado del servidor. * Rotar inmediatamente todas las credenciales si se sospecha de un compromiso. * Aplicar **AWS** IMDSv2. * Reemplazar cualquier clave SSH reutilizada. * Habilitar el escaneo de secretos. * Desplegar protecciones WAF/RASP para aplicaciones **Next.js**. * Aplicar el principio de menor privilegio en contenedores y roles de nube. <a rel="noopener sponsored" href="https://hubs.li/Q048zztN0"><img src="https://www.bleepstatic.com/c/p/picus-whitepaper.jpg" data-src="https://www.bleepstatic.com/c/p/picus-whitepaper.jpg" alt="tines"></a> Las pruebas de penetración automatizadas cubren solo 1 de 6 superficies. Las pruebas de penetración automatizadas demuestran que el camino existe. BAS demuestra si sus controles lo detienen. La mayoría de los equipos ejecutan uno sin el otro. Este whitepaper mapea seis superficies de validación, muestra dónde termina la cobertura y proporciona a los profesionales tres preguntas de diagnóstico para la evaluación de cualquier herramienta.