Die Sicherheitsforschenden Asheer Malhotra und Brandon White von Cisco Talos haben die Kampagne detailliert dokumentiert und damit ein besorgniserregendes Bild massiver Infrastruktur-Kompromittierungen gezeichnet. Die Angreifer setzen dabei auf eine bewährte Strategie: Automatisierte Scanning, kombiniert mit kritischen Sicherheitslücken als Einfallstor.
Das Angriffsmuster: Gezielt und automatisiert
Die Bedrohungsgruppe UAT-10608 nutzt CVE-2025-55182, eine kritische Schwachstelle in React Server Components und dem Next.js App Router, um Remote-Code-Execution zu ermöglichen. Über ein Dropper-Skript wird anschließend das NEXUS Listener Framework deployed — ein mehrstufiges System zur Credential-Exfiltration. Die bloße Existenz der Version 3 dieses Tools deutet auf längerfristige Entwicklung und professionelle Strukturen hin.
Das Framework ist zentral organisiert: Eine passwortgeschützte Web-Oberfläche mit grafischer Benutzeroberfläche ermöglicht dem Angreifer, alle gestohlenen Daten durchzusehen und zu durchsuchen. Die Statistik-Funktionen zeigen umfassend an, wie viele Systeme kompromittiert und welche Credential-Typen extrahiert wurden.
Das Ausmaß der Datensammlung
Als Cisco Talos Zugriff auf eine ungesicherte NEXUS Listener-Instanz erhielt, fand das Unternehmen eine schockierende Menge gestohlener Zugangsdaten: Stripe-API-Keys, Token von OpenAI, Anthropic und NVIDIA NIM, SendGrid- und Brevo-Credentials, GitHub- und GitLab-Token, Datenbank-Verbindungszeichenfolgen, Telegram-Bot-Token und unzählige weitere Anwendungs-Secrets.
Diese Fülle an Daten ist das eigentliche Risiko. Die Angreifer erhalten damit nicht nur einzelne Zugangsdaten, sondern ein detailliertes Lagebild der Zielorganisationen: Welche Services laufen, wie sind sie konfiguriert, welche Cloud-Provider werden genutzt, welche Drittanbieter-Integrationen existieren. Diese Informationen sind hochwertig für gezielte Folgeattacken, Social-Engineering-Kampagnen oder den Verkauf an andere Kriminelle.
Automatisierte Targeting-Strategie
Die breite geografische Verteilung der 766 kompromittierten Hosts und das indiskriminante Angriffsverhalten deuten auf vollautomatisierte Scanning-Verfahren hin. Services wie Shodan und Censys, die öffentlich erreichbare Internet-Assets indexieren, ermöglichen es Angreifern, vulnerable Next.js-Deployments in Minutenschnelle zu identifizieren und zu probieren.
Handlungsempfehlungen für Organisationen
Cisco Talos empfiehlt sofortige Maßnahmen: Umgebungs-Audits zur Durchsetzung des Least-Privilege-Prinzips, aktivierte Secret-Scanning-Tools, Vermeidung von SSH-Key-Wiederverwendung, IMDSv2-Enforcement auf AWS EC2-Instanzen und sofortige Credential-Rotation bei Verdacht auf Kompromittierung. Deutsche Unternehmen sollten CVE-2025-55182 als Patch-Priorität behandeln und ihre Next.js-Systeme umgehend überprüfen.