🔍 Contexte
Rapport publié le 22 avril 2026 par The DFIR Report, basé sur l’analyse d’un serveur exposé appartenant à un opérateur malveillant. Le serveur contenait plus de 13 000 fichiers répartis dans 150+ répertoires liés à l’exploitation, la collecte de credentials et la gestion de workflow.
🎯 Nature de l’opération
L’opération repose sur la plateforme modulaire Bissa Scanner, un outil d’exploitation à grande échelle intégrant des capacités d’IA (Claude Code et OpenClaw) pour l’orchestration, le dépannage et le raffinement du pipeline de collecte. L’opérateur est identifié via Telegram sous le pseudonyme @BonJoviGoesHard (display name “Dr. Tube”, user ID 1609309278).
💥 Exploitation principale
- CVE-2025-55182 (React2Shell / Next.js) : vulnérabilité centrale de l’opération, permettant le scan de millions de cibles internet-facing
- 900+ compromissions confirmées documentées dans les logs
- CVE-2025-9501 : module WordPress ciblant W3 Total Cache (CVSS 9.0, versions < 2.8.13), présent mais sans preuve d’exploitation réussie
- Payload déployé pour énumérer fichiers
.env, métadonnées cloud, contexte Kubernetes, credentials de bases de données, wallets crypto
🗝️ Collecte de credentials
Les credentials volés couvrent :
- IA : Anthropic, OpenAI, Google, Mistral, OpenRouter, Groq, Replicate, DeepSeek, HuggingFace
- Cloud : AWS, Cloudflare, Azure, Google Cloud/Firebase, DigitalOcean, Alchemy
- Paiements : Stripe, PayPal, Shopify, Square
- Messagerie : Resend, Telegram, SendGrid, Twilio, Vonage, Postmark
- Monitoring : Sentry, Segment, Intercom, Mixpanel
Le corpus S3 (bucket bissapromax sur Filebase) contenait 400+ archives ZIP, 30 000+ fichiers .env distincts et 65 000+ entrées archivées entre le 10 et le 21 avril 2026.
🏢 Victimes notables
- Victim A : cabinet de conseil fiscal et financier de taille moyenne — tokens Plaid, données bancaires, transcriptions IRS, données ACH, contacts Salesforce, SSN/DOB
- Victim B : grande entreprise de finance numérique et paiements — exports Oracle Fusion REST (fournisseurs, factures, bons de commande, données bancaires)
- Victim C : plateforme de paie, RH et paiements en stablecoin — données de paie, intégration Fireblocks, HRIS
🤖 Infrastructure C2 et alerting
- Bot Telegram @bissapwned_bot (ID 8798206332) : alerting scanner en temps réel vers le chat opérateur 1609309278
- Bot @bissa_scan_bot : subsystème de contrôle IA
- Chaque notification encode : identité victime, contexte runtime, niveau de privilège, posture cloud, surface de secrets récupérables
- Acquéreur de cibles hébergé sur denemekulubum[.]com[.]tr/acquirer/ (ancien : wiprz[.]com/acquirer/)
- Exfiltration via S3 Filebase (bucket bissapromax)
📋 Type d’article
Rapport d’incident technique détaillé visant à documenter une opération d’exploitation à grande échelle, à notifier les victimes et à fournir des indicateurs de compromission exploitables pour la communauté CTI.
🧠 TTPs et IOCs détectés
Acteurs de menace
- BonJoviGoesHard / Dr. Tube (cybercriminal) —
TTP
- T1190 — Exploit Public-Facing Application (Initial Access)
- T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
- T1530 — Data from Cloud Storage (Collection)
- T1567.002 — Exfiltration to Cloud Storage (Exfiltration)
- T1595.002 — Active Scanning: Vulnerability Scanning (Reconnaissance)
- T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
- T1102.002 — Web Service: Bidirectional Communication (Command and Control)
- T1119 — Automated Collection (Collection)
- T1078 — Valid Accounts (Defense Evasion)
IOC
- Domaines :
denemekulubum.com.tr— VT · URLhaus · ThreatFox - Domaines :
wiprz.com— VT · URLhaus · ThreatFox - Domaines :
cs2.ip.thc.org— VT · URLhaus · ThreatFox - URLs :
https://s3.filebase.com— URLhaus - URLs :
http://denemekulubum.com.tr/acquirer/— URLhaus - URLs :
http://wiprz.com/acquirer/— URLhaus - CVEs :
CVE-2025-55182— NVD · CIRCL - CVEs :
CVE-2025-9501— NVD · CIRCL - Fichiers :
claude_env_fix.sh - Chemins :
/bissascanner/
Malware / Outils
- Bissa Scanner (framework)
- OpenClaw (tool)
- Claude Code (tool)
- bissapwned_bot (tool)
- bissa_scan_bot (tool)
🟢 Indice de vérification factuelle : 75/100 (haute)
- ✅ thedfirreport.com — source reconnue (Rösti community) (20pts)
- ✅ 13436 chars — texte complet (fulltext extrait) (15pts)
- ✅ 10 IOCs (IPs/domaines/CVEs) (10pts)
- ⬜ 0/6 IOCs confirmés externellement (0pts)
- ✅ 10 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : BonJoviGoesHard / Dr. Tube (5pts)
- ⬜ 0/2 CVE(s) confirmée(s) (0pts)
🔗 Source originale : https://thedfirreport.com/2026/04/22/bissa-scanner-exposed-ai-assisted-mass-exploitation-and-credential-harvesting/