UAT-10608 : Campagne automatisée de vol de credentials ciblant les apps Next.js via CVE-2025-55182

🔍 Contexte Publié le 2 avril 2026 par Cisco Talos, cet article détaille une campagne de collecte automatisée de credentials à grande échelle attribuée au cluster de menace UAT-10608. L’analyse repose sur des données collectées à des fins de recherche, incluant l’accès à une instance NEXUS Listener non authentifiée. 🎯 Vecteur d’accès initial UAT-10608 exploite CVE-2025-55182, aussi appelée React2Shell, une vulnérabilité de Remote Code Execution (RCE) pré-authentification affectant les React Server Components (RSC) et les frameworks qui en dépendent, notamment Next.js. La faille réside dans la désérialisation de payloads HTTP sans validation adéquate sur les endpoints Server Function, permettant une exécution de code arbitraire dans le processus Node.js côté serveur.