Als Einfallstor dienen Webanwendungen auf Basis von Next.js, die für CVE-2025-55182 anfällig sind. Bei der Schwachstelle handelt es sich um eine Remote-Code-Execution-Lücke (RCE) ohne vorherige Authentifizierung, die unter dem Namen React2Shell bekannt wurde und bereits im vergangenen Jahr entdeckt und anschließend breit ausgenutzt wurde. Betroffen sind React Server Components beziehungsweise darauf aufbauende Frameworks wie Next.js.

Der Angriff beginnt damit, dass die Täter eine öffentlich erreichbare Webanwendung mit einer verwundbaren Version identifizieren. Anschließend erstellen sie eine bösartige serialisierte Payload und senden sie per HTTP-Anfrage direkt an einen Server-Function-Endpunkt — ohne Authentifizierung. „Der Server deserialisiert die bösartige Payload, was zur Ausführung beliebigen Codes im serverseitigen Node.js-Prozess führt", schreiben die Forscher.

Ist ein verwundbarer Endpunkt einmal gefunden, ist keine weitere manuelle Interaktion nötig: NEXUS Listener übernimmt und extrahiert automatisiert Zugangsdaten, SSH-Schlüssel, Cloud-Token und Umgebungsgeheimnisse im großen Stil. Das Framework fungiert dabei zugleich als Command-and-Control-Plattform und als Analyse-Dashboard. Über eine grafische Oberfläche mit detaillierten Statistiken und Suchfunktionen können die Angreifer die erbeuteten Daten durchforsten.

„Diese strukturierte Datensammlung steigert den operativen Wert des Einbruchs erheblich und verwandelt gestohlene Zugangsdaten faktisch in einen durchsuchbaren Informationsbestand", so die Forscher. Das breite Opferfeld über verschiedene Branchen und Regionen hinweg sowie das wahllose Vorgehen deuten nach ihrer Einschätzung auf versierte Akteure hin, die mit Automatisierung möglichst viele verwundbare Systeme erfassen. Wahrscheinlich stützten sie sich dabei auf Host-Profildaten aus Diensten wie Shodan oder Censys oder auf eigene Scanner, um öffentlich erreichbare Next.js-Installationen aufzuspüren und auf die beschriebene React-Konfigurationslücke zu prüfen.

Die erbeuteten Daten geben den Tätern einen detaillierten Überblick über die Infrastruktur der Opfer — Dienste, Cloud-Nutzung und Integrationen. Daraus ergeben sich laut Talos Optionen für Folgeangriffe, Social-Engineering-Kampagnen oder den Verkauf von Zugängen an andere Akteure.

Zur Abwehr empfiehlt Cisco Talos zunächst das Einspielen des Patches für CVE-2025-55182 in allen Next.js-Installationen — was viele betroffene Organisationen angesichts der anhaltenden Angriffe noch nicht getan haben. Darüber hinaus sollten potenziell offengelegte Zugangsdaten und API-Schlüssel rotiert, das Prinzip der minimalen Rechtevergabe durchgesetzt und die Wiederverwendung von SSH-Schlüsseln vermieden werden. Ergänzend raten die Forscher dazu, den Zugriff auf Cloud-Metadatendienste einzuschränken, Secrets-Scanning einzusetzen und auf auffällige Aktivitäten zu achten.

Sicherheitsteams können zudem nach konkreten Spuren eines UAT-10608-Angriffs suchen: unerwartete Prozesse aus /tmp/ mit zufällig benannten, mit einem Punkt beginnenden Dateinamen, nohup-Aufrufe in Prozesslisten ohne Bezug zu bekannten Anwendungsabläufen, ungewöhnliche ausgehende HTTP/S-Verbindungen aus Anwendungscontainern zu Nicht-Produktionszielen sowie Hinweise auf serverseitige Geheimnisse in NEXT_DATA innerhalb des gerenderten HTML.