Hacker nutzen Telegram-Bots, um über 900 erfolgreiche React2Shell-Exploits zu verfolgen

Ein neu aufgedeckter Server enthüllte, wie ein Bedrohungsakteur automatisierte Tools, KI-Unterstützung und Telegram-Bots nutzte, um heimlich mehr als 900 Unternehmen weltweit zu hacken.

Die Operation, die um ein Tool namens „Bissa scanner“ aufgebaut war, zielte auf internetzugängliche Webanwendungen in massivem Umfang ab, sammelte sensible Anmeldeinformationen und sendete Echtzeit-Exploit-Warnungen direkt an das Telegram-Konto des Angreifers.

Der Angriff konzentrierte sich auf eine kritische Schwachstelle in Next.js, die als CVE-2025-55182 verfolgt wird und React2Shell bezeichnet wird.

Dieser Fehler ermöglichte es Angreifern, Millionen nehmen und sensible Umgebungsdateien (.env) zu extrahieren, die oft Passwörter, API-Schlüssel und Zugriffstoken enthalten.

Der Bedrohungsakteur scannte nicht willkürlich; er baute einen strukturierten Workflow, um Opfer zu finden, auszunutzen und nach ihrem potenziellen Wert zu ordnen. Finanzinstitute, Kryptowährungsplattformen und Einzelhandelsunternehmen waren unter den am stärksten betroffenen.

Die DFIR-Berichtanalysten identifizierten den vollen Umfang dieser Kampagne, nachdem sie einen exponierten Server entdeckten, der über 13.000 Dateien in mehr als 150 Verzeichnisse enthielt.