Die von Cisco Talos entdeckte Kampagne zeichnet sich durch ihre Effizienz und Automatisierung aus. Angreifer nutzen öffentlich verfügbare Scanning-Dienste wie Shodan oder Censys, um anfällige Next.js-Installationen ausfindig zu machen. Sobald ein verwundbarer Server identifiziert ist, wird ein speziell präpariertes Exploit-Payload gegen einen Server-Function-Endpoint gesendet — ohne dass eine Authentifizierung erforderlich wäre. Dieser Ansatz nutzt die Tatsache, dass React Server Components (RSCs) eingehende HTTP-Anfragen deserialisieren, ohne sie angemessen zu validieren.
Die technische Ausnutzung der CVE-2025-55182 führt zu willkürlicher Code-Ausführung auf der serverseitigen Node.js-Instanz. Danach übernimmt NEXUS Listener die Regie: Das Framework fungiert gleichzeitig als Command-and-Control-Plattform und als Analyse-Dashboard. Angreifer können über eine Benutzeroberfläche auf die gestohlenen Daten zugreifen, diese durchsuchen und in Kategorien sortieren — ein erheblicher Mehrwert für nachfolgende Angriffe.
Besonders bemerkenswert ist die Breite der Angriffsfläche. Die Forscher beobachteten Kompromittierungen über mehrere geografische Regionen und Cloud-Provider hinweg. Dies deutet darauf hin, dass die Bedrohungsakteure mit großer Effizienz vorgehen und automatisierte Scanning-Methoden einsetzen, um möglichst viele Systeme zu erfassen. Die Art der Zielauswahl — ohne erkennbares branchenspezifisches Muster — spricht für einen indiskriminaten Angriff mit maximaler Reichweite.
Die gestohlenen Daten eröffnen Angreifern zahlreiche weitere Angriffsvektoren. Mit Zugang zu SSH-Schlüsseln, API-Tokens und Cloud-Credentials können sie tiefer in Unternehmensnetze eindringen, weitere Systeme kompromittieren oder Zugänge an andere Cyberkriminelle verkaufen. Cisco Talos warnt auch vor möglichen Social-Engineering-Kampagnen basierend auf den erbeuteten Informationen.
Die Abwehrmaßnahmen sind technisch klar definiert: Priorität Nummer eins ist das sofortige Patchen der CVE-2025-55182 in allen Next.js-Deployments. Danach sollten alle potenziell gefährdeten Anmeldedaten und API-Keys rotiert werden. Zusätzlich empfehlen die Forscher, das Least-Privilege-Prinzip zu enforce, SSH-Schlüssel nicht wiederzuverwenden, Cloud-Metadaten-Services zu beschränken und Secrets-Scanning zu implementieren.
Zur Detektion von UAT-10608-Angriffen sollten Sicherheitsteams nach charakteristischen Artefakten suchen: Unerwartete Prozesse aus dem /tmp/-Verzeichnis mit randomisierten Dot-Prefix-Namen, nohup-Aufrufe in Prozesslisten und ungewöhnliche ausgehende HTTP/S-Verbindungen von Anwendungs-Containern zu Non-Production-Endpoints.