Una operación masiva de robo de credenciales ha sido detectada utilizando la vulnerabilidad conocida como React2Shell como puerta de entrada inicial para comprometer aplicaciones Next.js y extraer secretos a gran escala. Cisco Talos ha atribuido la campaña a un clúster de amenazas identificado como UAT-10608, que según los investigadores ha logrado infiltrarse en cientos de servidores distribuidos entre varias regiones y proveedores en la nube.
El modus operandi descrito por los analistas consiste en detectar despliegues públicos de Next.js vulnerables a CVE-2025-55182 —un fallo crítico en las Server Components de React y el App Router de Next.js que permite ejecución remota de código— y aprovechar esa ejecución para plantar un “dropper”. Ese dropper inicia un escrapeo profundo del sistema comprometido y despliega el marco de colección conocido como NEXUS Listener, una aplicación web con interfaz gráfica que centraliza y facilita la consulta de todo lo robado.
Desde esa plataforma, los operadores pueden revisar estadística agregada sobre hosts afectados y tipos de credenciales obtenidas, así como buscar y filtrar artefactos sensibles. Entre los secretos y la información exfiltrada que Talos pudo observar en instancias de NEXUS se encuentran cadenas de conexión a bases de datos, claves privadas SSH y entradas en authorized_keys, historiales de comandos de shell, tokens de servicio de Kubernetes, configuraciones de contenedores Docker, credenciales temporales asociadas a roles de IAM obtenidas a través del servicio de metadatos de instancias en AWS, Google Cloud y Azure, y claves de APIs de servicios como Stripe, plataformas de IA, servicios de comunicación y repositorios de código.
La amplitud del compromiso —con al menos 766 hosts afectados según el reporte— y la naturaleza indiscriminada del escaneo sugieren que los atacantes automatizaron la búsqueda de víctimas usando motores y herramientas que localizan servicios expuestos en Internet, como Shodan o Censys, o bien escáneres propios. Ese enfoque “rueda” sobre instancias Next.js públicas, prueba la vulnerabilidad y, cuando logra ejecución, deja caer el conjunto de scripts encargado de recopilar secretos.
Más allá del impacto inmediato de cada credencial individual, los investigadores subrayan que la colección masiva constituye un mapa muy valioso de la infraestructura de las víctimas: revela qué servicios se ejecutan, qué proveedores en la nube se emplean, cómo están configuradas las integraciones de terceros y qué proveedores de comunicación o facturación están en uso. Esa inteligencia facilita ataques dirigidos posteriores, desde movimientos laterales en la red hasta campañas de ingeniería social o la venta de accesos en foros ilícitos.
Para quienes administran aplicaciones Next.js y entornos en la nube, las recomendaciones prácticas son claras y urgentes. En primer lugar, parchear o mitigar cualquier instancia vulnerable es prioritario; la documentación oficial de Next.js y las notas de seguridad del proyecto deben ser revisadas en cuanto haya remedios disponibles (Next.js Docs). En infraestructura cloud, la adopción y refuerzo de IMDSv2 en instancias EC2 reduce el riesgo de exfiltración de credenciales a través del servicio de metadatos; Amazon describe cómo habilitar y forzar IMDSv2 en sus guías oficiales (Documentación IMDSv2 - AWS).
Además, conviene implementar detección y barrido de secretos en el ciclo de desarrollo, rotar claves y credenciales si existe la menor sospecha de compromiso, y aplicar el principio de menor privilegio en todas las cuentas y roles para limitar el alcance de las claves filtradas. Herramientas y servicios como la detección automática de secretos en repositorios (por ejemplo, la funcionalidad de Secret Scanning de GitHub) y gestores de secretos ayudan a mitigar la exposición y a automatizar la rotación segura de credenciales.
También es aconsejable evitar la reutilización de pares de claves SSH entre máquinas y equipos, auditar regularmente qué claves y tokens están vigentes, y minimizar el número de credenciales con permisos amplios. Para organizaciones que usan servicios gestionados de gestión de secretos, soluciones como AWS Secrets Manager o alternativas comerciales permiten controlar el ciclo de vida de secretos y simplificar la rotación.
En el plano de la detección y la respuesta, es importante monitorizar comportamientos anómalos como procesos inusuales que realizan lecturas de ficheros sensibles, conexiones salientes hacia servidores no reconocidos y actividad en los endpoints de administración que coincida con despliegue de webapps como la que los investigadores identificaron. Los equipos de seguridad deberían considerar búsquedas proactivas en sus entornos para identificar instancias Next.js accesibles públicamente y comprobar si han sido parcheadas o si presentan señales de compromiso.
El caso de UAT-10608 y NEXUS Listener es un recordatorio contundente de que la explotación de vulnerabilidades en frameworks modernos puede derivar en pérdidas de secretos de gran valor y en una ventana de oportunidad para ataques posteriores. Mantener entornos actualizados, reducir la superficie de exposición y proteger los secretos con políticas y herramientas adecuadas son medidas que marcan la diferencia entre una intrusión aislada y una filtración que compromete toda la cadena de operaciones de una organización.
Para seguir la investigación y obtener más detalles técnicos, puede consultarse la cobertura de grupos de inteligencia y medios especializados como Cisco Talos y la prensa tecnológica y de ciberseguridad como The Hacker News. Para principios generales de seguridad web conviene revisar recursos de referencia como OWASP.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...