Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La vulnerabilità React2Shell monitorata con il codice CVE-2025-55182, è stata sfruttata in una campagna che ha compromesso 766 host in 24 ore, sottraendo molte credenziali ai servizi cloud, chiavi SSH e token API. L’attacco, è stato attribuito alla cyber gang UAT-10608, la quale utilizza strumenti automatici per estrarre segreti da ambienti Next.js.
I ricercatori di Cisco Talos hanno scoperto come una campagna automatizzata lanciata su larga scala, abbia sfruttato la vulnerabilità di React2Shell (CVE-2025-55182). In sole 24 ore, gli aggressori hanno compromesso 766 host su diversi servizi di cloud in tutto il mondo. Hanno rubando password di database, chiavi AWS, chiavi SSH private, token API e variabili d’ambiente.
Gli esperti di sicurezza hanno attribuito questa attività ad un gruppo di minacce avanzate monitorato con il codice UAT-10608. I ricercatori sono riusciti ad accedere ad un’istanza aperta di NEXUS Listener (il framework in uso dagli aggressori), dopodiché sono riusciti ad esaminare sia lo strumento stesso che i dati raccolti dai sistemi compromessi online.
Lo schema di attacco è molto automatizzato. Gli scanner cercano le applicazioni Next.js che risultano vulnerabili per poi sfruttare l’exploit React2Shell e quindi injettare uno script nella directory temporanea standard che avvia la raccolta dei segreti in più fasi.
Secondo i ricercatori, il malware in questione estrae le variabili d’ambiente e i segreti (chiavi API, dati di accesso al database, token di GitHub e GitLab), chiavi SSH, credenziali cloud (metadati di AWS, GCP e Azure, IAM), token di Kubernetes, informazioni sui container Docker ed infine la cronologia dei comandi e dati di processo e di runtime.
I segreti che sono stati estratti, vengono inviati al server di comando e controllo (C2) in più parti tramite richieste HTTP sulla porta 8080. NEXUS Listener opera sul lato C2, compila i dati ottenuti e li mostra in un pannello intuitivo con funzioni di ricerca, filtri e statistiche.
“L’applicazione contiene dei riepiloghi statistici, tra cui il numero di host compromessi e il numero totale di credenziali di ciascun tipo estratte con successo da queste macchine”, ha scritto Cisco Talos nel suo rapporto. “Viene inoltre visualizzato il tempo di attività dell’applicazione. In questo caso, il framework è riuscito a compromettere 766 host in 24 ore.”
Cisco sottolinea che il furto di segreti permette agli aggressori di aprire le porte delle aziende, consentendo di assumere il controllo degli account cloud, accedere a database e sistemi di pagamento e condurre attacchi alla catena di approvvigionamento. Le chiavi SSH sono utili per effettuare pivoting din rete, mentre la fuga di dati personali espone le vittime anche a rivendicazioni normative.
Cisco consiglia a tutti gli amministratori disinstallare al più presto le patch per React2Shell (se non lo hanno già fatto), di verificare la presenza di fughe di dati e di modificare tutte le credenziali in caso di sospetto di un attacco informatico.
Gli esperti raccomandano di abilitare AWS IMDSv2, sostituire le chiavi SSH riutilizzate, configurare la scansione dei segreti, implementare un WAF o RASP per proteggere Next.js e attenersi al principio del minimo privilegio per i container e i ruoli cloud.
Ricordiamo che tale vulnerabilità è stata trattata sul nostro portale diverse volte. Questa vulnerabilità ha ottenuto il punteggio massimo di 10 su 10 nel sistema CVSS ed è stata sfruttata attivamente da cryptominer, ransomware e gruppi APT cinesi e iraniani a partire da dicembre 2025.
