- Una campaña automatizada de robo de credenciales explota la vulnerabilidad React2Shell (CVE-2025-55182) en aplicaciones Next.js.
- Al menos 766 servidores en diversos proveedores cloud han sido comprometidos para extraer credenciales de bases de datos, AWS, llaves SSH y tokens de API.
- Los atacantes utilizan un framework llamado NEXUS Listener para automatizar la recolección y exfiltración de datos sensibles.
- El grupo de amenazas, identificado como UAT-10608, opera con alta eficiencia, comprometiendo cientos de hosts en 24 horas.
- Recomendamos aplicar parches urgentes, rotar todas las credenciales y reforzar la seguridad en entornos cloud y contenedores.
React2Shell robo credenciales: El robo de credenciales mediante la explotación de React2Shell (CVE-2025-55182) se ha convertido en una amenaza crítica para miles de aplicaciones Next.js en producción. Según el análisis de Cisco Talos, al que hemos tenido acceso, los atacantes han comprometido al menos 766 hosts en múltiples geografías, automatizando por completo el proceso de extracción de secretos. Desde nuestro puesto de ciberinteligencia, hemos desgranado los mecanismos de esta campaña para entender su impacto real en el ecosistema empresarial español y europeo.
Análisis de la campaña de robo de credenciales mediante React2Shell
La campaña, atribuida a un grupo trackeado como UAT-10608, representa un salto cualitativo en la automatización de ataques dirigidos a entornos de desarrollo modernos. A diferencia de operaciones anteriores, aquí los actores maliciosos han integrado un escaneo masivo de aplicaciones Next.js vulnerables con un framework de exfiltración sofisticado. Fuentes del sector reportan que la ventana de explotación es extremadamente corta, lo que dificulta la detección y respuesta temprana. React2Shell robo credenciales es clave para entender el alcance de esta amenaza.
El mecanismo de explotación de React2Shell (CVE-2025-55182)
React2Shell es una vulnerabilidad crítica que permite a un atacante remoto ejecutar código arbitrario en servidores Next.js que no han aplicado los parches correspondientes. El vector de ataque se aprovecha de una exposición indebida de endpoints internos, típicamente en configuraciones de desarrollo mal aseguradas que se arrastran a producción. Los scripts automatizados de los atacantes buscan estos puntos débiles e inyectan un payload que descarga y ejecuta una rutina de múltiples fases para el robo de credenciales. React2Shell robo credenciales es clave para entender el alcance de esta amenaza.
El framework NEXUS Listener y la automatización del ataque
Una vez comprometido el host, el ataque despliega el framework NEXUS Listener, que centraliza la gestión de los datos robados. Este componente, alojado en un servidor de comando y control (C2) en el puerto 8080, recibe la información exfiltrada en bloques y proporciona a los atacantes un panel con estadísticas detalladas. Tal y como ha trascendido en los informes de Talos, la interfaz muestra métricas como el número de hosts comprometidos y el volumen de cada tipo de credencial extraída, evidenciando una operación industrializada.
Tipos de datos robados y su impacto en la seguridad
La variedad de información sustraída convierte esta campaña en una amenaza de primer orden para la continuidad del negocio. No se limitan a contraseñas simples; los atacantes buscan llaves maestras que les concedan acceso persistente a infraestructuras críticas. Desde nuestra perspectiva, el verdadero peligro reside en la cadena de compromisos secundarios que pueden desencadenarse.
Credenciales de nube, llaves SSH y tokens de API
Los datos recopilados incluyen variables de entorno con secretos de aplicaciones, credenciales de bases de datos, tokens de GitHub y GitLab, así como metadatos y credenciales IAM de servicios cloud como AWS, Google Cloud Platform y Microsoft Azure. Además, los atacantes cosechan llaves privadas SSH, tokens de Kubernetes y información sensible de contenedores Docker. Esta amalgama de credenciales permite a los intrusos moverse lateralmente, tomar el control de cuentas cloud y acceder a sistemas de pago o bases de datos internas.
Consecuencias regulatorias y riesgos de movimiento lateral
Más allá del daño operativo, la filtración de datos personales o información regulada puede acarrear sanciones económicas severas bajo normativas como el GDPR. El robo de credenciales en esta escala también facilita ataques a la cadena de suministro, ya que los atacantes podrían utilizar accesos legítimos para comprometer a clientes o proveedores de la víctima original. La posesión de llaves SSH, en particular, abre la puerta a una persistencia a largo plazo en la infraestructura.
Recomendaciones de mitigación para administradores de sistemas
La respuesta inmediata es crucial para contener el impacto. Basándonos en nuestro análisis técnico y en las buenas prácticas del sector, desglosamos las acciones prioritarias que todo equipo de operaciones debe implementar.
Aplicar parches y rotar credenciales inmediatamente
El primer paso es aplicar sin demora las actualizaciones de seguridad que mitigan React2Shell (CVE-2025-55182) en todos los entornos Next.js. Paralelamente, si existe la más mínima sospecha de compromiso, es imperativo rotar todas las credenciales, llaves SSH y tokens de API expuestos. Esta rotación debe ser completa y abarcar no solo los sistemas directamente afectados, sino también cualquier servicio que pudiera compartir credenciales reutilizadas.
Mejores prácticas en entornos cloud y contenedores
Reforzar la configuración de seguridad en la nube es otro pilar fundamental. Debemos exigir el uso de AWS IMDSv2 (Metadata Service), implementar escaneo automatizado de secretos en repositorios de código y desplegar protecciones WAF (Web Application Firewall) o RASP (Runtime Application Self-Protection) específicas para Next.js. Además, el principio de mínimo privilegio debe regir en los roles de IAM, las identidades de servicio y los contenedores para limitar el radio de explosión de un posible ataque.
Perspectiva de ciberinteligencia: el grupo UAT-10608
El tracking de este grupo, denominado UAT-10608 por Cisco Talos, revela un modus operandi centrado en la eficiencia y el bajo perfil. No utilizan herramientas personalizadas exóticas, sino que optimizan scripts existentes y aprovechan frameworks opensource adaptados para la exfiltración masiva. Esta pragmática los hace especialmente peligrosos, ya que su huella es más difícil de atribuir y su escalabilidad es enorme.
Tácticas, técnicas y procedimientos (TTPs) observados
Nuestro análisis de los TTPs indica que el grupo prioriza la automatización total del ciclo de ataque: desde el descubrimiento de objetivos hasta la exfiltración de datos. Utilizan escaneo de puertos y banners para identificar versiones vulnerables de Next.js, luego lanzan la explotación de React2Shell de forma masiva y, finalmente, centralizan los resultados en NEXUS Listener. La elección de exfiltrar por el puerto 8080, a menudo menos monitorizado que el 443 o el 80, evidencia un conocimiento profundo de las configuraciones típicas de red corporativa.
¿Tu organización está preparada ante las ciberamenazas?
En Iberia Intelligence combinamos Ciberinteligencia y Automatización con IA para anticipar amenazas, proteger activos digitales y blindar la operativa de empresas e instituciones hispanohablantes.