黑客利用Telegram做“战报系统”，900余家企业遭React2Shell漏洞批量洗劫

攻击行动曝光

新近曝光的一台服务器揭示了威胁攻击者如何利用自动化工具、AI 辅助和 Telegram 机器人悄无声息地入侵了全球 900 多家企业。这项围绕名为"Bissa scanner"工具展开的大规模行动，专门针对暴露在互联网上的 Web 应用程序，窃取敏感凭证，并将实时漏洞利用警报直接发送至攻击者的 Telegram 账户。

漏洞利用机制

攻击的核心是利用 Next.js 中的一个关键漏洞（CVE-2025-55182），安全研究人员称之为 React2Shell。该漏洞使攻击者能够针对数百万台 Web 服务器，窃取通常包含密码、API 密钥和访问令牌的敏感环境文件（.env）。威胁攻击者并非随机扫描，而是构建了结构化工作流程，根据被盗数据的潜在价值对受害者进行查找、利用和分级。金融机构、加密货币平台和零售企业是受影响最严重的行业。

自动化攻击基础设施

DFIR Report 分析师在发现一台暴露的服务器后确认了此次攻击行动的全貌，该服务器存储了分布在 150 多个目录中的 13,000 多个文件。研究人员指出，这些内容远非简单的数据转储，而是展示了高度专业化的攻击行动，所有漏洞利用脚本、受害者数据暂存、凭证收集和访问验证都在同一地点运行。暴露的主机还显示，攻击者使用 Claude Code 和名为 OpenClaw 的工具进行故障排除和工作流管理，为大规模漏洞利用行动提供了罕见的自动化水平和效率。

Telegram 实时通知系统

此次发现最引人注目的是攻击者将 Telegram 用作实时通知系统。Bissa scanner 框架中的运行脚本硬编码了与名为 @bissapwned_bot 的 Telegram 机器人相关联的令牌。每当扫描器确认一次成功的 React2Shell 漏洞利用时，机器人就会直接向攻击者的私人 Telegram 聊天发送结构化警报。公开可识别为 Telegram 用户名 @BonJoviGoesHard、显示名称为"Dr. Tube"的操作员，每条确认的攻击都会收到一行信息，包含受害者的身份、云环境状态、权限级别和可用密钥。这使得攻击者能够近乎实时地从即时通讯应用中筛选数百次入侵。

凭证收集规模

凭证收集规模惊人。攻击者从数万个 .env 文件中收集了 Anthropic 和 OpenAI 等 AI 提供商的密钥和令牌，AWS 和 Azure 等云平台，Stripe 和 PayPal 等支付系统，以及 MongoDB 和 Supabase 等数据库的访问凭证。在 2026 年 4 月 10 日至 21 日期间，攻击者使用兼容 S3 的 Filebase 向名为"bissapromax"的云存储桶上传了超过 65,000 个归档文件条目，显示出收集管道的自动化程度和持续性。

Telegram 机器人通知系统工作原理

Telegram 警报设置是整个行动中最具技术揭示性的部分之一。@bissapwned_bot 发送的每条确认消息都带有结构化标头，包含消息 ID、日期、发送者用户名和机器人用户 ID。消息正文以表情符号分隔的字段单行书写，使攻击者无需手动登录服务器即可立即了解每个受害者的概况。这种设计选择显示出明显的操作成熟度：攻击者希望在查看结果时获得速度、清晰度和最小工作量。

DFIR Report 分析师发现攻击者至少运行了两个独立的机器人：用于扫描警报的 @bissapwned_bot 和由 OpenClaw 驱动的 AI 控制子系统中的 @bissa_scan_bot。对 Telegram API 的元数据查询证实，两个机器人在发现时都保持活跃状态。目标聊天解析为机器人与单个操作员之间的私人对话，确认这是一次单人操作、集中管理的攻击行动。这种基础设施投入水平表明，攻击者长期从事此类操作，存储阶段名称可追溯至 2025 年 9 月。

防御建议

DFIR Report 研究人员提出了几项组织应立即采取的强有力防御措施：

1. 积极打补丁并订阅供应商公告，确保关键 CVE 不会在事件发生前被忽视
2. 将生产凭证从 .env 文件迁移到适当的密钥管理器，在运行时注入具有短生命周期和窄权限的凭证
3. 通过记录日志的代理控制应用层的出站流量，防止被入侵主机静默连接攻击者基础设施
4. 定期轮换凭证，扫描代码和构建产物中嵌入的密钥，并设置触发警报的蜜罐令牌