766 Hosts in 24 Stunden: Die React2Shell-Kampagne und was sie über industrialisierte Cyberangriffe verrät

766 kompromittierte Server. 10.120 exfiltrierte Dateien. 24 Stunden Zeit. Was Cisco Talos diese Woche über die UAT-10608-Kampagne veröffentlichte, ist mehr als nur ein weiterer Sicherheitsvorfall — es ist der Bauplan für die nächste Generation automatisierter Credential-Harvesting-Operationen.

Die Anatomie eines industrialisierten Angriffs

Am 2. April 2026 publizierte Cisco Talos Details zu UAT-10608, einem Threat Actor, der systematisch Next.js-Anwendungen kompromittiert und dabei CVE-2025-55182 — besser bekannt als "React2Shell" — ausnutzt. Die Zahlen sind beeindruckend: In nur 24 Stunden wurden 766 Hosts kompromittiert, über 10.000 Dateien exfiltriert. 91,5% der kompromittierten Systeme enthielten Datenbank-Credentials, 78,2% SSH-Private-Keys, 25,6% AWS-Credentials.

Was diesen Angriff besonders macht, ist nicht die Vulnerabilität selbst — sondern die Infrastruktur dahinter. UAT-10608 setzt auf vollständig automatisierte Scans (vermutlich via Shodan oder Censys), ein mehrstufiges Harvesting-Framework und ein webbasiertes Command-&-Control-Interface namens "NEXUS Listener v3", das gestohlene Credentials in einer durchsuchbaren Datenbank mit Statistik-Dashboard präsentiert.

Die Angreifer identifizieren verwundbare Next.js-Deployments, senden einen serialisierten Payload direkt an einen React Server Function-Endpoint — keine Authentifizierung notwendig — und führen arbitrary Code im Node.js-Prozess aus. Von dort läuft ein automatisiertes Shell-Script, das in neun Phasen systematisch Secrets extrahiert: Environment-Variablen, SSH-Keys, Cloud-Metadata-APIs (AWS/GCP/Azure), Kubernetes Service Account Tokens, Docker-Konfigurationen, Shell-History, Prozess-Commandlines.

CVE-2025-55182: Die technische Essenz

React2Shell ist eine Pre-Authentication Remote Code Execution (RCE) in React Server Components (RSC). Das Problem liegt in der Art, wie React Server Functions serialisierte Daten von Clients verarbeiten — ein klassisches Deserialization-Problem, das an Log4Shell oder PHP-Unserialize-Bugs erinnert.

React nutzt das sogenannte "Flight Protocol" für die Kommunikation zwischen Server und Client. Wenn multipart/form-data-Requests ankommen, parst der Server einzelne Chunks und erlaubt spezielle Operatoren (prefixed mit $), um komplexe Datenstrukturen zu rekonstruieren. Die reviveModel-Funktion ist dabei zentral — sie deserialisiert rekursiv Strings, Arrays und Objekte.

Die Vulnerability Chain ist komplex (Details via Miggo.io und Moritz Sanft):

1. Unconstrained Property Traversal: Die Funktion getOutlinedModel erlaubt unkontrolliertes Traversieren von Objekthierarchien via user-controlled Input. Beispiel: $1:constructor:constructor führt zu chunk1.value["constructor"]["constructor"] — dem JavaScript Function Constructor.
2. Circular Reference via $@: Der $@-Operator ermöglicht Referenzen auf andere Chunks. Eine zirkuläre Referenz $@0 von Chunk 1 zurück zu Chunk 0 liefert die Basis für Prototype Traversal.
3. Malicious Overwrite: Über die Property-Write-Logik in reviveModel wird die interne Methode response._formData.get durch den JavaScript Function Constructor ersetzt — via $1:constructor:constructor.
4. Function Construction & Call: Der Payload nutzt $B1337 (Blob-Handler), um eine Funktion mit dem Angreifer-Code zu konstruieren. Da Chunks bei Statusübergang zu fulfilled via Promise.resolve() aufgelöst werden und das Ergebnis ein "thenable" Objekt mit einer then-Methode ist, wird die Payload-Funktion automatisch aufgerufen.

Der CVSS-Score: 10.0 (critical). React 19.x, Next.js 14.x und 15.x sind betroffen. Patches sind verfügbar (React 19.1.6+, Next.js 14.2.25+ / 15.1.5+).

NEXUS Listener: Das Dashboard der Diebe

Besonders bemerkenswert: Ein ungesichertes NEXUS Listener-Interface blieb öffentlich zugänglich. Cisco Talos konnte so Einblick in die Innereien des Frameworks gewinnen — inklusive der exfiltrierten Daten.

Das Web-Interface zeigt:

• Anzahl kompromittierter Hosts
• Credential-Kategorien (API-Keys, SSH-Keys, DB-Credentials etc.)
• Uptime der C2-Infrastruktur
• Durchsuchbare Datenbank aller exfiltrierten Secrets

Die Version-Bezeichnung "v3" deutet auf mehrere Entwicklungszyklen hin. UAT-10608 betreibt offensichtlich ein ausgereiftes Tool-Set.

Die geleakten Credentials umfassen:

• AI-Platform-Keys: OpenAI, Anthropic, NVIDIA NIM, OpenRouter
• Payment Processors: Stripe Live Secret Keys (sk_live_*)
• Cloud Providers: AWS Access/Secret Keys, Azure Subscription Credentials
• Communication Platforms: SendGrid, Telegram Bot Tokens
• Source Control: GitHub Personal Access Tokens, GitLab Tokens
• Datenbank-Connection-Strings: Volle URLs mit Usernamen und Cleartext-Passwörtern
• SSH Private Keys: 78,2% aller Hosts (ED25519 und RSA)
• Kubernetes Service Account Tokens

Investment-Implikationen: Die neue Bedrohungslandschaft

React2Shell und UAT-10608 markieren einen Wendepunkt: Angriffe sind nicht mehr opportunistisch, sondern industrialisiert. Die Implikationen für den Security-Markt:

1. Runtime Application Security explodiert
Tools, die ausschließlich auf Static Code Analysis setzen, versagen bei Deserialization-Bugs. Miggo (das Unternehmen hinter der technischen Analyse) positioniert sich mit Runtime Application Defense genau hier. Runtime-Observability wird Pflicht, nicht Nice-to-have.

2. Credential-Management wird strategisch
11,4% der kompromittierten Hosts enthielten Live-Stripe-Keys, 8,6% GitHub-Tokens. Unternehmen wie CyberArk, 1Password oder HashiCorp Vault profitieren von der wachsenden Einsicht, dass Secrets niemals in Environment-Variablen oder Plaintext-Configs liegen dürfen. Secret Scanning (GitHub Advanced Security, AWS Macie) wird Standard.

3. Supply-Chain-Security verschärft sich weiter
Kompromittierte npm- und pip-Registry-Credentials erlauben Supply-Chain-Attacks. SBOMs (Software Bill of Materials), Artifact-Signing (Sigstore) und Zero-Trust-Pipelines (wie von Chainguard propagiert) werden zur Compliance-Anforderung.

4. Cloud Security Posture Management (CSPM) reicht nicht
25,6% der Hosts lieferten AWS-Credentials, viele mit zu breiten IAM-Permissions. Wiz, Orca Security und Lacework gewinnen an Relevanz — aber auch hier gilt: Ohne Runtime-Visibility bleiben Lücken.

5. Der Markt für Threat Intelligence wächst
UAT-10608 nutzte vermutlich Shodan/Censys-Daten für Targeting. Attack Surface Management (ASM) — Unternehmen wie Censys (70M Series B im März 2026), Randori (von IBM übernommen),攻ipwave — wird essenziell.

Zahlen, die zählen

• CVE-2025-55182: CVSS 10.0 (critical)
• 766 kompromittierte Hosts in 24 Stunden
• 10.120 exfiltrierte Dateien
• 91,5% der Hosts: Datenbank-Credentials
• 78,2% der Hosts: SSH Private Keys
• 25,6% der Hosts: AWS Credentials
• 11,4% der Hosts: Live Stripe API Keys

React ist das meistgenutzte Frontend-Framework (laut Stack Overflow 2025: 42,6% aller Entwickler). Next.js ist die dominierende React-Meta-Framework-Wahl (Vercel meldete 2025 über 1,2 Mio. Deployments). Die Exposure ist massiv.

Was jetzt zu tun ist

Für Unternehmen:

1. Patch sofort: React auf 19.1.6+, Next.js auf 14.2.25+ oder 15.1.5+ upgraden.
2. Credentials rotieren: Alle API-Keys, SSH-Keys, DB-Credentials als kompromittiert betrachten, wenn Next.js-Anwendungen verwundbar waren.
3. IMDSv2 erzwingen: AWS Metadata Service nur noch session-orientiert abfragen lassen (verhindert unauthenticated Metadata-Abuse).
4. SSH-Keys segmentieren: Key-Reuse über Systeme hinweg vermeiden.
5. Secret Scanning aktivieren: GitHub, AWS, GitLab bieten native Tools — nutzen.
6. RASP oder WAF Rules deployen: Speziell für Next.js SSR-Injection-Patterns.
7. Container Least-Privilege: Keine Host-SSH-Agent-Zugriffe, keine überprivilegierte IAM-Rollen für Container.

Für Investoren:

Runtime Application Security, Secret Management, Supply-Chain-Security und ASM sind die Wachstumsfelder der nächsten 24 Monate. UAT-10608 zeigt: Die Angreifer sind industrialisiert. Die Verteidigung muss es auch werden.

Fazit: Willkommen in der Ära automatisierter Bedrohungen

React2Shell ist kein Einzelfall. Deserialization-Bugs sind so alt wie die Informatik selbst — aber die Art, wie sie heute ausgenutzt werden, ist neu. UAT-10608 operiert mit der Effizienz eines SaaS-Startups: Scanning, Exploitation, Harvesting, Dashboarding — alles automatisiert, skalierbar, wiederholbar.

Die gute Nachricht: Die Security-Community hat schnell reagiert. Patches sind verfügbar, IOCs veröffentlicht (via Cisco Talos GitHub), Snort-Regeln deployed (ID 65554). Die schlechte Nachricht: 766 Hosts in 24 Stunden sind nur das, was wir sehen. Wie viele unentdeckte Nexus Listener-Instanzen noch laufen, wissen wir nicht.

Was bleibt: Runtime-Visibility, Secret Hygiene und die Einsicht, dass statische Analyse allein nicht reicht. Komplexität gebiert Bugs — und Bugs lieben Deserialization. Der nächste ist nur eine Frage der Zeit.

Quellen:

• Cisco Talos Intelligence: "UAT-10608: Inside a large-scale automated credential harvesting operation targeting web applications" (2. April 2026)
• Miggo.io: "React2Shell (CVE-2025-55182): Technical RCE Breakdown" (5. Dezember 2025)
• SecurityWeek: "React2Shell Exploited in Large-Scale Credential Harvesting Campaign" (3. April 2026)
• Loginsoft Threat Intelligence: "React2Shell Crisis: Deep Dive into CVE-2025-55182"
• Microsoft Security Blog: "Defending against the CVE-2025-55182 (React2Shell) vulnerability in React Server Components" (15. Dezember 2025)