{"id":445,"date":"2026-04-02T21:40:53","date_gmt":"2026-04-02T21:40:53","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/02\/los-piratas-informaticos-aprovechan-cve-2025-55182-para-violar-766-hosts-next-js-y-robar-credenciales-cyberdefensa-mx\/"},"modified":"2026-04-02T21:40:53","modified_gmt":"2026-04-02T21:40:53","slug":"los-piratas-informaticos-aprovechan-cve-2025-55182-para-violar-766-hosts-next-js-y-robar-credenciales-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/02\/los-piratas-informaticos-aprovechan-cve-2025-55182-para-violar-766-hosts-next-js-y-robar-credenciales-cyberdefensa-mx\/","title":{"rendered":"Los piratas inform\u00e1ticos aprovechan CVE-2025-55182 para violar 766 hosts Next.js y robar credenciales \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Se ha observado una operaci\u00f3n de recolecci\u00f3n de credenciales a gran escala que explota la vulnerabilidad React2Shell como vector de infecci\u00f3n inicial para robar credenciales de bases de datos, claves privadas SSH, secretos de Amazon Web Services (AWS), historial de comandos de shell, claves API de Stripe y tokens de GitHub a escala.<\/p>\n<p>Cisco Talos ha atribuido la operaci\u00f3n a un grupo de amenazas que rastrea como <strong>UAT-10608<\/strong>. Al menos 766 hosts que abarcan m\u00faltiples regiones geogr\u00e1ficas y proveedores de nube se han visto comprometidos como parte de la actividad.<\/p>\n<p>\u00abDespu\u00e9s del compromiso, UAT-10608 aprovecha scripts automatizados para extraer y filtrar credenciales de una variedad de aplicaciones, que luego se publican en su comando y control (C2)\u00bb, los investigadores de seguridad Asheer Malhotra y Brandon White. <a href=\"https:\/\/blog.talosintelligence.com\/uat-10608-inside-a-large-scale-automated-credential-harvesting-operation-targeting-web-applications\/\">dicho<\/a> en un informe compartido con The Hacker News antes de su publicaci\u00f3n.<\/p>\n<p>\u00abEl C2 alberga una interfaz gr\u00e1fica de usuario (GUI) basada en web titulada &#8216;NEXUS Listener&#8217; que se puede utilizar para ver informaci\u00f3n robada y obtener conocimientos anal\u00edticos utilizando estad\u00edsticas precompiladas sobre las credenciales recopiladas y los hosts comprometidos\u00bb.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/vpn-risk-report-inside-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgWajeG0cdaapf1GKTZRUZUB7BzuYGegyw5k0eAorJXlmkFdYCCeLXXhXYJuXU9lWD33rV6rRnIyly3czoNfYifpxk1eGA5slItPmim3HkubXoQMgC4J7hdQPywxGbWq7Eqeff_o6s2Fq-WmSFd5guwdLn7IqpveMqULqtVnd-ndnljWYGj45EkMFB7m0qm\/s728-e100\/z-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Se considera que la campa\u00f1a est\u00e1 dirigida a aplicaciones Next.js que son vulnerables a CVE-2025-55182 (puntuaci\u00f3n CVSS: 10.0), una falla cr\u00edtica en los componentes del servidor React y el enrutador de aplicaciones Next.js que podr\u00eda resultar en la ejecuci\u00f3n remota de c\u00f3digo, para el acceso inicial, y luego eliminar el marco de recopilaci\u00f3n de NEXUS Listener.<\/p>\n<p>Esto se logra mediante un cuentagotas que procede a implementar un script de recolecci\u00f3n de m\u00faltiples fases que recopila varios detalles del sistema comprometido:<\/p>\n<ul>\n<li>Variables ambientales<\/li>\n<li>Entorno analizado JSON desde el tiempo de ejecuci\u00f3n JS<\/li>\n<li>Claves privadas SSH y claves_autorizadas<\/li>\n<li>Historial de comandos de Shell<\/li>\n<li>Tokens de cuenta de servicio de Kubernetes<\/li>\n<li>Configuraciones de contenedores Docker (contenedores en ejecuci\u00f3n, sus im\u00e1genes, puertos expuestos, configuraciones de red, puntos de montaje y variables de entorno)<\/li>\n<li>Claves API<\/li>\n<li>Credenciales temporales asociadas a roles de IAM consultando el servicio de metadatos de instancia para AWS, Google Cloud y Microsoft Azure<\/li>\n<li>Procesos en ejecuci\u00f3n<\/li>\n<\/ul>\n<p>La compa\u00f1\u00eda de ciberseguridad dijo que la amplitud del conjunto de v\u00edctimas y el patr\u00f3n de focalizaci\u00f3n indiscriminada se alinean con el escaneo automatizado, probablemente aprovechando servicios como Shodan, Censys o esc\u00e1neres personalizados, para identificar implementaciones de Next.js accesibles p\u00fablicamente y probarlas para detectar la vulnerabilidad.<\/p>\n<p>Un elemento central del marco es una aplicaci\u00f3n web protegida con contrase\u00f1a que pone todos los datos robados a disposici\u00f3n del operador a trav\u00e9s de una interfaz gr\u00e1fica de usuario que presenta capacidades de b\u00fasqueda para examinar la informaci\u00f3n.<\/p>\n<p>\u00abLa aplicaci\u00f3n contiene una lista de varias estad\u00edsticas, incluida la cantidad de hosts comprometidos y el n\u00famero total de cada tipo de credencial que se extrajo con \u00e9xito de esos hosts\u00bb, dijo Talos. \u00abLa aplicaci\u00f3n web permite al usuario navegar a trav\u00e9s de todos los hosts comprometidos. Tambi\u00e9n enumera el tiempo de actividad de la propia aplicaci\u00f3n\u00bb.<\/p>\n<p>La versi\u00f3n actual de NEXUS Listener es V3, lo que indica que la herramienta ha pasado por importantes iteraciones de desarrollo antes de llegar a la etapa actual.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fast-response-not-fast-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjgi9mu68zRUz1nCLLKmkAA2aBtNfP_JOTXulZoB6yImso1Onk7oM_LI0kdROu8fq5S5oDyMtd1j50W44Ye_8Sl3zQZiE8A9tmFr6kejGKjGh74uoxluF-RyBq_unDQlzjXZHCqQeuYXBoogda5zf0w-zXd6v0rIM7fEw6TcFf_QGWBu5Mop-djkEaOUa5A\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Talos, que pudo obtener datos de una instancia de NEXUS Listener no autenticada, dijo que conten\u00eda claves API asociadas con Stripe, plataformas de inteligencia artificial (OpenAI, Anthropic y NVIDIA NIM), servicios de comunicaci\u00f3n (SendGrid y Brevo), junto con tokens de bot de Telegram, secretos de webhook, tokens de GitHub y GitLab, cadenas de conexi\u00f3n de bases de datos y otros secretos de aplicaciones.<\/p>\n<p>La extensa operaci\u00f3n de recopilaci\u00f3n de datos destaca c\u00f3mo los delincuentes podr\u00edan utilizar el acceso a hosts comprometidos como arma para realizar ataques posteriores. Se recomienda a las organizaciones que auditen sus entornos para hacer cumplir el principio de privilegio m\u00ednimo, habilitar el escaneo secreto, evitar la reutilizaci\u00f3n de pares de claves SSH, implementar la aplicaci\u00f3n de IMDSv2 en todas las instancias de AWS EC2 y rotar las credenciales si se sospecha que est\u00e1n comprometidas.<\/p>\n<p>\u00abM\u00e1s all\u00e1 del valor operativo inmediato de las credenciales individuales, el conjunto de datos agregado representa un mapa detallado de la infraestructura de las organizaciones v\u00edctimas: qu\u00e9 servicios ejecutan, c\u00f3mo est\u00e1n configurados, qu\u00e9 proveedores de nube utilizan y qu\u00e9 integraciones de terceros existen\u00bb, dijeron los investigadores.<\/p>\n<p>\u00abEsta inteligencia tiene un valor significativo para dise\u00f1ar ataques de seguimiento dirigidos, campa\u00f1as de ingenier\u00eda social o vender acceso a otros actores de amenazas\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Se ha observado una operaci\u00f3n de recolecci\u00f3n de credenciales a gran escala que explota la vulnerabilidad React2Shell como vector de infecci\u00f3n inicial para robar credenciales de bases de datos, claves privadas SSH, secretos de Amazon Web Services (AWS), historial de comandos de shell, claves API de Stripe y tokens de GitHub a escala. Cisco Talos [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[466,469,1522,24,1523,540,52,58,36,539,703,220],"class_list":["post-445","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-aprovechan","tag-credenciales","tag-cve202555182","tag-cyberdefensa-mx","tag-hosts","tag-informaticos","tag-los","tag-next-js","tag-para","tag-piratas","tag-robar","tag-violar"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/445","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=445"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/445\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=445"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=445"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=445"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}