Image credit: Freepix
Botnet 900 Perusahaan via Telegram – Sebuah peladen (server) yang baru saja terungkap telah membongkar bagaimanaTelegram dieksploitasi masif.
Seorang pelaku ancaman menggunakan kombinasi alat otomatis, asisten AI, dan bot Telegram untuk membobol lebih dari 900 perusahaan di seluruh dunia secara senyap.
Operasi ini berpusat pada alat bernama “Bissa scanner” yang menargetkan aplikasi web publik dalam skala masif guna memanen kredensial sensitif.
Serangan ini mengeksploitasi kerentanan kritis pada kerangka kerja Next.js yang dikenal sebagai CVE-2025-55182 atau julukan para peneliti, React2Shell.
Celah ini memungkinkan penyerang menarik file lingkungan (environment files atau .env) dari jutaan peladen web, yang biasanya berisi kata sandi, kunci API, dan token akses penting.
|
Baca juga: Caller as a Service Industrialisasi Penipuan Telepon |
Otomasi AI dan Triage Instan via Telegram
Analisis mendalam dari peneliti mengungkap bahwa operasi ini dikelola secara profesional dan sangat terorganisir.
Alih-alih melakukan pemindaian acak, penyerang membangun alur kerja terstruktur untuk mengidentifikasi, mengeksploitasi, dan menyortir korban berdasarkan nilai data yang dicuri.
Sektor keuangan, platform kripto, dan perusahaan ritel tercatat sebagai target yang paling banyak terdampak.
Salah satu temuan paling signifikan adalah penggunaan alat bantu AI seperti Claude Code dan OpenClaw untuk membantu pemecahan masalah (troubleshooting) serta manajemen alur kerja.
Hal ini memberikan tingkat efisiensi yang jarang terlihat dalam kampanye eksploitasi massal. Kecanggihan operasional ini semakin terlihat dari penggunaan Telegram sebagai sistem notifikasi waktu nyata:
- Setiap kali pemindai mengonfirmasi keberhasilan eksploitasi React2Shell, bot bernama @bissapwned_bot akan mengirimkan pesan terstruktur langsung ke obrolan pribadi penyerang.
- Pesan tersebut berisi identitas korban, postur cloud, tingkat hak istimewa, dan daftar kunci akses yang tersedia.
- Antara 10 hingga 21 April 2026, operator tersebut mengunggah lebih dari 65.000 entri file yang diarsipkan ke penyimpanan awan, menunjukkan pipa pengumpulan data yang terus berjalan tanpa henti.
Kredensial yang berhasil dicuri sangatlah beragam, mencakup kunci akses untuk penyedia AI (Anthropic, OpenAI), platform cloud (AWS, Azure), sistem pembayaran (Stripe, PayPal), hingga basis data (MongoDB).
|
Baca juga: 109 Repositori GitHub Palsu Penyebar Malware |
Langkah Penjagaan dan Mitigasi Identitas
Melihat betapa cepat dan otomatisnya serangan ini bekerja, organisasi perlu memperkuat pertahanan mereka melalui langkah-langkah berikut:
- Segera lakukan patching terhadap kerentanan Next.js (CVE-2025-55182) dan pastikan Anda berlangganan buletin keamanan vendor agar tidak tertinggal informasi mengenai celah kritis.
- Jangan menyimpan kredensial produksi dalam file .env. Pindahkan kunci API dan token ke solusi pengelola rahasia yang menyuntikkan kredensial saat aplikasi dijalankan (runtime) dengan masa pakai singkat.
- Batasi dan pantau lalu lintas keluar dari tingkat aplikasi melalui proxy yang mencatat log aktivitas guna mencegah peladen yang terkompromi menghubungi infrastruktur penyerang secara diam-diam.
- Terapkan jadwal rutin untuk mengganti kata sandi dan token akses secara otomatis.
- Tanamkan kredensial palsu sebagai jebakan yang akan memicu alarm segera setelah diakses oleh pihak yang tidak sah.
- Lakukan pemindaian pada kode sumber dan artefak aplikasi untuk memastikan tidak ada rahasia atau kunci API yang tertanam secara tidak sengaja.
- Solusi keamanan dapat membantu mendeteksi aktivitas pemindaian mencurigakan dan upaya eksploitasi pada aplikasi web sebelum penyerang berhasil mengambil alih file sensitif Anda.
Melindungi Keamanan di Era Otomasi AI
Keberhasilan operasi “Bissa scanner” membuktikan bahwa AI telah mengubah peta persaingan dalam dunia keamanan siber.
Peretas kini tidak lagi bekerja secara manual untuk menyortir hasil curian mereka; mereka menggunakan AI dan bot perpesanan untuk melakukan tugas tersebut dalam hitungan detik.
Di tahun 2026, pertahanan yang kuat menuntut kita untuk bergerak lebih cepat daripada otomatisasi yang dimiliki penyerang.
Dengan menjauhkan kredensial dari jangkauan langsung di peladen web dan memperketat pengawasan lalu lintas jaringan, organisasi dapat memastikan bahwa data berharga mereka tidak menjadi baris pesan berikutnya di akun Telegram para penjahat siber.
Sumber berita:
