La vulnerabilidad React2Shell (identificada como CVE-2025-55182) está siendo explotada de forma masiva y automatizada para sustraer credenciales de aplicaciones web construidas con Next.js. Según el análisis de Cisco Talos, al menos 766 servidores en diferentes proveedores de nube y regiones geográficas han sido comprometidos en una campaña que roba claves de bases de datos, credenciales de AWS, llaves SSH privadas, tokens de API y secretos de entorno.
Puntos clave de esta campaña:
- La explotación se realiza de forma automatizada contra aplicaciones Next.js vulnerables a React2Shell.
- Los atacantes utilizan un framework llamado NEXUS Listener para gestionar la exfiltración de datos.
- El grupo de amenazas detrás de la operación está identificado como UAT-10608.
- Se han robado credenciales de cloud (AWS, GCP, Azure), tokens de Kubernetes, información de Docker y historial de comandos.
- Los investigadores recomiendan aplicar parches, rotar credenciales y reforzar la configuración de seguridad.
¿Qué es vulnerabilidad React2Shell y por qué es relevante?
La campaña automatizada de robo de credenciales mediante React2Shell
Los atacantes escanean de forma automatizada la internet en busca de aplicaciones Next.js que no hayan parcheado la vulnerabilidad React2Shell. Una vez identificado un objetivo, explotan la falla para inyectar un script malicioso en el directorio temporal estándar del servidor. Este script ejecuta una rutina multifásica diseñada para recolectar cualquier dato sensible presente en el sistema.
Tal y como apuntan fuentes del sector, la operación demuestra un alto grado de automatización. El framework NEXUS Listener no solo gestiona la recepción de datos, sino que también proporciona a los atacantes un panel de control con estadísticas en tiempo real, incluyendo el número de hosts comprometidos y el volumen total de credenciales extraídas por tipo.
El mecanismo de ataque: de la explotación a la exfiltración de datos
Tras la explotación inicial, el script colocado actúa como un recolector polivalente. Extrae variables de entorno, secretos de aplicación, claves SSH tanto públicas como privadas, y metadatos de servicios en la nube. Toda esta información se envía en fragmentos a través de peticiones HTTP al puerto 8080 hacia un servidor de comando y control (C2) que aloja el componente NEXUS Listener.
La vulnerabilidad React2Shell sirve así como puerta de entrada perfecta para un robo silencioso y masivo. Los datos exfiltrados otorgan a los atacantes llaves de acceso a infraestructuras críticas, bases de datos e incluso sistemas de pago, ampliando el radio de impacto más allá del servidor inicialmente comprometido.
El framework NEXUS Listener y el grupo de amenazas UAT-10608
Cisco Talos ha atribuido esta actividad a un cluster de amenazas que monitoriza bajo la etiqueta UAT-10608. Los investigadores tuvieron acceso a una instancia del panel de NEXUS Listener que estaba expuesta públicamente, lo que les permitió analizar a fondo su funcionamiento y el tipo de información que estaba siendo recolectada.
El panel muestra métricas operativas detalladas, como el tiempo de actividad del framework y el desglose de credenciales robadas. En el caso analizado, el sistema logró comprometer 766 hosts en un período de 24 horas, una cifra que evidencia la eficacia y escala de la campaña automatizada.
Tipología y volumen de los datos sustraídos en la campaña
Los datos robados abarcan un espectro muy amplio de información sensible. La lista incluye credenciales de bases de datos, tokens de acceso a APIs de GitHub o GitLab, credenciales IAM de AWS, Google Cloud y Azure, tokens de servicio de Kubernetes, archivos de configuración de Docker e incluso el historial completo de comandos ejecutados en el servidor.
Esta diversidad convierte cada servidor comprometido en una mina de oro para los atacantes, facilitando no solo el acceso inicial sino también el movimiento lateral dentro de la red y la escalada de privilegios. La posesión de claves SSH privadas, en particular, abre la puerta a ataques de cadena de suministro y a la infiltración en sistemas conectados.
Recomendaciones de defensa y mitigación inmediata
Frente a esta campaña activa, los administradores de sistemas deben actuar con celeridad. La primera medida es aplicar los parches de seguridad disponibles para la vulnerabilidad React2Shell en todas las aplicaciones Next.js desplegadas. Paralelamente, es crucial auditar qué datos sensibles se están exponiendo en el lado del servidor y revisar los registros de acceso en busca de indicios de compromiso.
Si existe la más mínima sospecha de que un sistema ha sido afectado, la rotación inmediata de todas las credenciales, claves SSH y tokens de API es no solo recomendable, sino obligatoria. Esta medida corta el acceso actual de los atacantes, aunque debe ir acompañada de una investigación forense para determinar el alcance de la brecha.
Refuerzo de la postura de seguridad en entornos cloud y contenedores
Los investigadores subrayan la necesidad de adoptar configuraciones de seguridad más estrictas en los entornos afectados. Esto incluye forzar el uso de AWS IMDSv2 (Instance Metadata Service) para prevenir suplantaciones, desplegar soluciones de Web Application Firewall (WAF) o Runtime Application Self-Protection (RASP) específicas para Next.js, y habilitar herramientas de escaneo de secretos en los repositorios de código.
Además, se debe aplicar el principio de mínimo privilegio a los roles de cloud y a los contenedores, limitando así el impacto en caso de que unas credenciales sean robadas. La combinación de parcheo, rotación de credenciales y endurecimiento de la configuración constituye la barrera más efectiva contra campañas automatizadas como la que explota la vulnerabilidad React2Shell.
¿Tu organización está preparada ante las ciberamenazas?
En Iberia Intelligence combinamos Ciberinteligencia y Automatización con IA para anticipar amenazas, proteger activos digitales y blindar la operativa de empresas e instituciones hispanohablantes.