đ Contexte
PubliĂ© le 2 avril 2026 par Cisco Talos, cet article dĂ©taille une campagne de collecte automatisĂ©e de credentials Ă grande Ă©chelle attribuĂ©e au cluster de menace UAT-10608. L’analyse repose sur des donnĂ©es collectĂ©es Ă des fins de recherche, incluant l’accĂšs Ă une instance NEXUS Listener non authentifiĂ©e.
đŻ Vecteur d’accĂšs initial
UAT-10608 exploite CVE-2025-55182, aussi appelée React2Shell, une vulnérabilité de Remote Code Execution (RCE) pré-authentification affectant les React Server Components (RSC) et les frameworks qui en dépendent, notamment Next.js. La faille réside dans la désérialisation de payloads HTTP sans validation adéquate sur les endpoints Server Function, permettant une exécution de code arbitraire dans le processus Node.js cÎté serveur.
Les cibles sont identifiĂ©es via des scans automatisĂ©s, probablement alimentĂ©s par des services d’Ă©numĂ©ration comme Shodan ou Censys.
âïž MĂ©canisme d’attaque
Une fois l’accĂšs initial obtenu, un dropper est dĂ©posĂ© et exĂ©cute un script shell multi-phases via nohup depuis /tmp/ avec des noms alĂ©atoires prĂ©fixĂ©s par un point (ex: /tmp/.eba9ee1e4.sh). Les phases de collecte incluent :
- environ / jsenv : variables d’environnement des processus et runtime JS
- ssh : clés privées SSH et fichiers
authorized_keys - tokens : extraction par pattern-matching de chaĂźnes de credentials
- history : historique des commandes shell
- cloud_meta : interrogation des APIs de métadonnées AWS/GCP/Azure (IMDS)
- k8s : tokens de service account Kubernetes
- docker : configuration des conteneurs
- cmdline / proc_all : lignes de commande et variables d’environnement de tous les processus
Chaque phase envoie un callback HTTP au C2 sur le port 8080 avec le hostname victime, la phase et un identifiant unique.
đ„ïž Infrastructure C2 : NEXUS Listener
Le framework C2 est une application web nommée NEXUS Listener (v3), protégée par mot de passe dans la plupart des cas. Elle offre une interface graphique avec statistiques, liste des hÎtes compromis et accÚs aux données exfiltrées par catégorie. En 24h, le framework a compromis 766 hÎtes.
đ DonnĂ©es compromises
| Catégorie | HÎtes impactés |
|---|---|
| Credentials base de données | ~701 (91,5%) |
| Clés privées SSH | ~599 (78,2%) |
| Credentials AWS | ~196 (25,6%) |
| Historique shell | ~245 (32,0%) |
| Clés API Stripe live | ~87 (11,4%) |
| Tokens GitHub | ~66 (8,6%) |
| Fichiers collectés (total) | 10 120 |
Les types de secrets exposés incluent : clés OpenAI, Anthropic, NVIDIA NIM, Stripe (sk_live_*), AWS, Azure, SendGrid, Telegram, GitHub PAT, GitLab tokens, chaßnes de connexion base de données en clair, tokens Kubernetes, configurations Docker.
đ Type d’article
Il s’agit d’une publication de recherche et d’analyse technique produite par Cisco Talos, visant Ă documenter la mĂ©thodologie, les outils, l’ampleur et les implications d’une campagne active de credential harvesting automatisĂ©.
đ§ TTPs et IOCs dĂ©tectĂ©s
Acteurs de menace
- UAT-10608 (unknown) â Malpedia
TTP
- T1190 â Exploit Public-Facing Application (Initial Access)
- T1059.004 â Command and Scripting Interpreter: Unix Shell (Execution)
- T1552.001 â Unsecured Credentials: Credentials In Files (Credential Access)
- T1552.004 â Unsecured Credentials: Private Keys (Credential Access)
- T1552.005 â Unsecured Credentials: Cloud Instance Metadata API (Credential Access)
- T1083 â File and Directory Discovery (Discovery)
- T1057 â Process Discovery (Discovery)
- T1041 â Exfiltration Over C2 Channel (Exfiltration)
- T1105 â Ingress Tool Transfer (Command and Control)
- T1036.005 â Masquerading: Match Legitimate Name or Location (Defense Evasion)
- T1082 â System Information Discovery (Discovery)
- T1613 â Container and Resource Discovery (Discovery)
- T1528 â Steal Application Access Token (Credential Access)
- T1046 â Network Service Discovery (Discovery)
IOC
- IPv4 :
144.172.102.88â AbuseIPDB · VT · ThreatFox - IPv4 :
172.86.127.128â AbuseIPDB · VT · ThreatFox - IPv4 :
144.172.112.136â AbuseIPDB · VT · ThreatFox - IPv4 :
144.172.117.112â AbuseIPDB · VT · ThreatFox - CVEs :
CVE-2025-55182â NVD · CIRCL - Chemins :
/tmp/.eba9ee1e4.sh - Chemins :
/tmp/.e40e7da0c.sh - Chemins :
/var/run/secrets/kubernetes.io/serviceaccount/token
Malware / Outils
- NEXUS Listener (framework)
- React2Shell exploit (tool)
đą Indice de vĂ©rification factuelle : 90/100 (haute)
- â blog.talosintelligence.com â source reconnue (liste interne) (20pts)
- â 14338 chars â texte complet (fulltext extrait) (15pts)
- â 8 IOCs (IPs/domaines/CVEs) (10pts)
- â 3/3 IOCs confirmĂ©s (AbuseIPDB, ThreatFox, VirusTotal) (15pts)
- â 14 TTPs MITRE identifiĂ©es (15pts)
- â date extraite du HTML source (10pts)
- â acteur(s) identifiĂ©(s) : UAT-10608 (5pts)
- ⏠0/1 CVE(s) confirmée(s) (0pts)
IOCs confirmés externellement :
144.172.102.88(ip) â VT (7/94 dĂ©tections)172.86.127.128(ip) â VT (6/94 dĂ©tections)144.172.112.136(ip) â AbuseIPDB (44% confiance, 82 signalements) + VT (15/94 dĂ©tections)
đ Source originale : https://blog.talosintelligence.com/uat-10608-inside-a-large-scale-automated-credential-harvesting-operation-targeting-web-applications/