Cisco Talos ha revelado una operación de minería masiva de credenciales automatizada realizada por una red de amenazas que se rastrea como ‘UAT-10608’. La operación implica un uso extensivo del framework ‘NEXUS Listener’ para extraer y exfiltrar credenciales de diversas aplicaciones web, con hasta 766 hosts comprometidos en múltiples regiones geográficas y proveedores de nube. Los ataques inician explorando aplicaciones Next.js vulnerables a CVE-2025-55182 (React2Shell) para obtener acceso inicial. Posteriormente, se despliega una herramienta multi-fase que extrae credenciales, claves SSH y tokens de cloud.
UAT-10608: Operación de minería masiva y automatizada de credenciales contra aplicaciones web
Summary: Cisco Talos descubre una operación masiva de minería de credenciales automatizada que ataca principalmente aplicaciones web Next.js y exfiltra datos sensibles.
Key facts
- Operación de minería masiva de credenciales UAT-10608.
- Framework NEXUS Listener utilizado para exfiltrar datos.
- 766 hosts comprometidos en múltiples regiones geográficas y proveedores de nube.
- Ataque inicial a aplicaciones Next.js vulnerables a CVE-2025-55182 (React2Shell).
Why it matters
Esta operación pone en riesgo un amplio espectro de datos sensibles y afecta a múltiples empresas, exponiendo credenciales de bases de datos, claves SSH y tokens de AWS. Las medidas para mitigar este riesgo incluyen la corrección de vulnerabilidades conocidas y la implementación de mejores prácticas de seguridad.
Key metrics
- Credenciales de bases de datos: ~701 (91.5%)
- Claves SSH privadas: ~599 (78.2%)
- Credenciales de AWS: ~196 (25.6%)