Im Zentrum der Operation steht das Framework NEXUS Listener. Ein Dropper installiert auf den kompromittierten Systemen ein mehrstufiges Sammelskript, das eine Vielzahl von Details aus der betroffenen Umgebung ausliest und anschließend an die Befehls- und Kontrollinfrastruktur überträgt. Die aktuell beobachtete Ausführung trägt die Bezeichnung V3, was laut Talos auf mehrere vorangegangene Entwicklungsstufen des Werkzeugs hindeutet.
Nach Einschätzung von Cisco Talos passen die Breite der Opfergruppe und das wahllose Angriffsmuster zu automatisiertem Scannen. Vermutlich nutzen die Angreifer Dienste wie Shodan, Censys oder eigene Scanner, um öffentlich erreichbare Next.js-Installationen aufzuspüren und gezielt auf die Schwachstelle zu prüfen.
Kernstück des Frameworks ist eine passwortgeschützte Webanwendung, über die alle gestohlenen Daten für den Betreiber zugänglich sind. Die Oberfläche trägt den Titel “NEXUS Listener” und bietet eine Suchfunktion, um die gesammelten Informationen zu durchforsten. Nach Angaben von Talos listet die Anwendung mehrere Statistiken auf, darunter die Zahl der kompromittierten Server und die Gesamtzahl jedes erfolgreich extrahierten Typs von Zugangsdaten. Zudem lässt sich durch alle betroffenen Hosts navigieren, und auch die Laufzeit der Anwendung selbst wird angezeigt.
Talos gelang es, Daten aus einer nicht authentifizierten NEXUS-Listener-Instanz abzurufen. Diese enthielt API-Schlüssel zu Stripe, zu KI-Plattformen (OpenAI, Anthropic und NVIDIA NIM) sowie zu Kommunikationsdiensten (SendGrid und Brevo). Hinzu kamen Telegram-Bot-Token, Webhook-Geheimnisse, GitHub- und GitLab-Token, Datenbank-Verbindungszeichenfolgen und weitere Anwendungsgeheimnisse.
Nach Einschätzung der Forscher liegt der Wert für die Angreifer nicht nur in den einzelnen Zugangsdaten. Der gesammelte Datenbestand ergebe eine detaillierte Karte der Infrastruktur der betroffenen Organisationen: welche Dienste sie betreiben, wie diese konfiguriert sind, welche Cloud-Anbieter genutzt werden und welche Anbindungen an Drittanbieter bestehen. Diese Erkenntnisse seien für gezielte Folgeangriffe, für Social-Engineering-Kampagnen oder für den Verkauf von Zugängen an andere Akteure von erheblichem Nutzen.
Talos rät Organisationen, ihre Umgebungen zu überprüfen und das Prinzip der minimalen Rechtevergabe durchzusetzen. Empfohlen werden zudem das Aktivieren von Secret Scanning, der Verzicht auf wiederverwendete SSH-Schlüsselpaare, die Durchsetzung von IMDSv2 auf allen AWS-EC2-Instanzen sowie das Rotieren von Zugangsdaten, falls eine Kompromittierung vermutet wird.
