Meta News

UAT-10608: campaña automatizada de robo de credenciales contra aplicaciones web

Summary: Cisco Talos atribuye a UAT-10608 una campaña automatizada que usa el framework NEXUS Listener para extraer y exfiltrar credenciales a gran escala.

Cisco Talos describe una operación de robo automatizado de credenciales a gran escala atribuida al grupo UAT-10608. La campaña se apoya en un framework llamado NEXUS Listener, diseñado para extraer y exfiltrar de forma sistemática credenciales obtenidas desde distintas aplicaciones web.

El alcance del caso es especialmente relevante: la investigación documenta al menos 766 hosts comprometidos en múltiples regiones y proveedores de nube. Entre los datos expuestos figuran credenciales de bases de datos, claves SSH, credenciales de AWS, historiales de comandos en shell, claves de API de Stripe y tokens de GitHub, además de más de 10.120 archivos recopilados.

Más que un incidente aislado, el reporte retrata una operación industrializada, con automatización suficiente para escalar el robo de secretos y reutilizarlos sobre infraestructuras conectadas a internet.

Key facts

  • Campaña automatizada de robo de credenciales atribuida al grupo UAT-10608.
  • Uso del framework NEXUS Listener para extraer y exfiltrar secretos a gran escala.
  • Compromiso de al menos 766 hosts en múltiples regiones y proveedores de nube.
  • Exposición de claves SSH, credenciales de AWS y secretos de entorno.

Why it matters

Muestra hasta qué punto una campaña automatizada puede convertir credenciales mal protegidas en un riesgo transversal para entornos web, nube y desarrollo.

Key metrics

  • Hosts comprometidos: {766}
  • Credenciales de base de datos comprometidas: {~701 (91.5%)}
  • Claves SSH comprometidas: {~599 (78.2%)}
  • Credenciales de AWS comprometidas: {~196 (25.6%)}
  • Historial de comandos en shell comprometidos: {~245 (32.0%)}
  • Claves API Stripe comprometidas: {~87 (11.4%)}
  • Tokens GitHub comprometidos: {~66 (8.6%)}
  • Archivos recopilados en total: {10,120}
Tags:
cybersecurity credential-harvesting malware Next.js

Structured details

  • Industry: cybersecurity
  • Source type: media
  • Claim status: confirmed
  • Verification: claimed_by_source
  • Entities: UAT-10608, NEXUS Listener

Source: https://blog.talosintelligence.com/uat-10608-inside-a-large-scale-automated-credential-harvesting-operation-targeting-web-applications/

Publicado el