Une opération de collecte d’identifiants à grande échelle a été observée, exploitant la vulnérabilité de React2Shell comme vecteur d’infection initial pour voler à grande échelle des identifiants de base de données, des clés privées SSH, des secrets Amazon Web Services (AWS), l’historique des commandes shell, des clés API Stripe et des jetons GitHub.

Cisco Talos a attribué cette opération à un groupe de menaces qu’il suit sous la désignation UAT-10608 . Au moins 766 hôtes répartis dans plusieurs régions géographiques et chez différents fournisseurs de cloud ont été compromis lors de cette activité.

« Après la compromission, UAT-10608 exploite des scripts automatisés pour extraire et exfiltrer des informations d’identification à partir de diverses applications, qui sont ensuite publiées sur son serveur de commande et de contrôle (C2) », ont déclaré les chercheurs en sécurité Asheer Malhotra et Brandon White dans un rapport partagé avec The Hacker News avant sa publication.

« Le C2 héberge une interface utilisateur graphique (GUI) basée sur le Web, intitulée « NEXUS Listener », qui peut être utilisée pour visualiser les informations volées et obtenir des analyses à l’aide de statistiques précompilées sur les identifiants collectés et les hôtes compromis. »

La campagne ciblerait les applications Next.js vulnérables à la CVE-2025-55182 (score CVSS : 10,0), une faille critique dans les composants serveur React et le routeur d’application Next.js qui pourrait permettre l’exécution de code à distance, pour un accès initial, puis l’abandon du framework de collection NEXUS Listener.

Ceci est réalisé au moyen d’un programme d’installation qui déploie un script de collecte en plusieurs phases qui recueille diverses informations sur le système compromis.

• Variables environnementales
• Environnement analysé JSON à partir de l’environnement d’exécution JS
• clés privées SSH et clés autorisées
• Historique des commandes Shell
• jetons de compte de service Kubernetes
• Configurations des conteneurs Docker (conteneurs en cours d’exécution, leurs images, ports exposés, configurations réseau, points de montage et variables d’environnement)
• Clés API
• Les informations d’identification temporaires associées aux rôles IAM sont obtenues en interrogeant le service de métadonnées d’instance pour AWS, Google Cloud et Microsoft Azure.
• Processus en cours d’exécution

L’entreprise de cybersécurité a déclaré que l’étendue de l’ensemble des victimes et le schéma de ciblage indiscriminé correspondent à une analyse automatisée, utilisant probablement des services comme Shodan, Censys ou des scanners personnalisés, pour identifier les déploiements Next.js accessibles publiquement et les sonder à la recherche de la vulnérabilité.

Au cœur de ce dispositif se trouve une application web protégée par mot de passe qui met toutes les données volées à la disposition de l’opérateur via une interface utilisateur graphique dotée de fonctions de recherche permettant de trier les informations.

« L’application contient une liste de plusieurs statistiques, notamment le nombre d’hôtes compromis et le nombre total d’identifiants de chaque type extraits avec succès de ces hôtes », a déclaré Talos. « L’application web permet à l’utilisateur de consulter tous les hôtes compromis. Elle affiche également la durée de disponibilité de l’application elle-même. »

La version actuelle de NEXUS Listener est la V3, ce qui indique que l’outil a subi d’importantes itérations de développement avant d’atteindre son stade actuel.

Talos, qui a pu obtenir des données à partir d’une instance NEXUS Listener non authentifiée, a déclaré qu’elle contenait des clés API associées à Stripe, des plateformes d’intelligence artificielle (OpenAI, Anthropic et NVIDIA NIM), des services de communication (SendGrid et Brevo), ainsi que des jetons de bot Telegram, des secrets de webhook, des jetons GitHub et GitLab, des chaînes de connexion à la base de données et d’autres secrets d’application.

Cette vaste opération de collecte de données met en lumière comment des acteurs malveillants pourraient exploiter l’accès à des hôtes compromis pour mener des attaques ultérieures. Il est conseillé aux organisations d’auditer leurs environnements afin d’appliquer le principe du moindre privilège, d’activer l’analyse des secrets, d’éviter la réutilisation des paires de clés SSH, de mettre en œuvre la protection IMDSv2 sur toutes les instances AWS EC2 et de renouveler les identifiants en cas de suspicion de compromission.

« Au-delà de la valeur opérationnelle immédiate des identifiants individuels, l’ensemble de données agrégées représente une cartographie détaillée de l’infrastructure des organisations victimes : les services qu’elles exécutent, leur configuration, les fournisseurs de cloud qu’elles utilisent et les intégrations tierces en place », ont déclaré les chercheurs.

« Ces renseignements ont une valeur considérable pour concevoir des attaques ciblées de suivi, des campagnes d’ingénierie sociale ou pour vendre l’accès à d’autres acteurs malveillants. »