文章总结： SOCRadar威胁研究团队发现一个使用Paperclip后端和OpenClaw工作流系统的大型自动化网络犯罪活动。该组织针对金融科技、Web3平台等高价值目标，通过FOFA等引擎扫描漏洞，利用React2Shell等RCE漏洞进行攻击，使用自定义Python脚本绕过WAF并实现并行漏洞利用。攻击者窃取AIAPI密钥等敏感数据，通过Cloudflare隧道和后门维持持久性，已发起4.5万次攻击并植入5300多个后门。建议企业强化WAF防护并监控异常区块链交易。 综合评分： 85 文章分类： 漏洞分析,威胁情报,恶意软件,安全运营,WEB安全

网络犯罪活动涉及4.5万次攻击和5300多个后门

会杀毒的单反狗 会杀毒的单反狗

爱拍照的老李

2026年5月2日 09:01 湖北

在小说阅读器读本章

去阅读

导读

SOCRadar威胁研究团队发现一个庞大自动化网络犯罪网络。该网络犯罪活动使用名为Paperclip的中央后端和名为OpenClaw的基于代理的工作流系统。

利用这些工具，黑客们像经营企业一样开展攻击活动，遵循一套循序渐进的工作流程：从计划开始，依次进行审核、派遣、侦察、扫描、验证，最后生成一份关于窃取数据的报告。

攻击是如何运作的

黑客利用FOFA和360Quake等互联网地图引擎来识别外部攻击面（面向互联网的资产）。他们尤其针对金融科技公司、Web3平台和安全厂商等高价值目标。为了确保扫描不间断，他们利用电子邮件模式创建了数千个自动化账户。

攻击者利用 136 个 FOFA 账户绕过 API 限制并持续扫描（来源：SOCRadar 威胁研究团队）

这种扫描可以帮助他们找到运行存在已知安全漏洞的软件系统。他们更倾向于利用允许远程代码执行 ( RCE ) 的漏洞来完全控制受感染的设备，例如React2Shell (CVE-2025-55182)和 CVE-2025-66478，以及Log4Shell (CVE-2021-44228)。

研究人员发现了四个自定义的Python脚本，分别为2.py、3.py、4.py和11.py，这些脚本帮助攻击者加快了整个过程并绕过了安全过滤器。这也有助于他们同时对数百个目标执行命令。

研究人员在博文中指出：“自定义Python脚本通过执行诸如环境变量转储之类的命令来自动化漏洞利用。这些脚本支持绕过Web应用防火墙（WAF）和并行执行，从而能够对数百个目标进行可扩展的漏洞利用。其主要目标是实现可靠的远程代码执行，而非简单的漏洞检测。”

窃取数据并保持持久性

在获得初始访问权限后，攻击者会搜索敏感数据，主要目标是 AI API 密钥、Stripe 令牌和存储在PostgreSQL中的数据库凭证。

为了保持持久性，他们使用多种方法来确保自身隐蔽，例如通过 cf-client 部署 Cloudflare 隧道、使用名为 mayun 的 P2P 客户端，以及在日志中识别为 d2 和 pl 的后门。

该组织还使用无文件执行链，通过命令直接向Node.js系统内存中输入网页内容来运行恶意代码，而无需将任何文件保存到磁盘。这使得恶意软件的检测更加困难。

行动规模

这是一次规模巨大的行动。黑客自身的日志显示，他们发起了约 45,000 次攻击尝试。他们的数据库显示，他们已在 3,981 台主机上植入了 d2 后门，在 1,393 台主机上植入了 pl 后门。他们还成功植入了 900 个 webshell，并正在追踪近 22,000 个加密货币地址。

作为背景，d2 和 pl 是攻击者用来维持对被入侵系统的访问权限的两个自定义后门植入程序。

报告解释说，“此次行动通过集中式后端进行协调”，这有助于该组织管理和丰富窃取的数据。黑客利用OKLink和Tatum等区块链情报API监控近22000个加密货币地址。

他们还使用自动化脚本，通过检查活跃账户及其可用余额来验证窃取的Stripe密钥。这种有组织的策略使攻击者能够立即优先选择最有利可图的目标。

报告全文：

https://socradar.io/blog/chinese-cybercrime-exploitation-harvesting/

新闻链接：

45,000 Attacks, 5,300+ Backdoors Tied to China-Linked Cybercrime Operation

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：爱拍照的老李 会杀毒的单反狗 会杀毒的单反狗《网络犯罪活动涉及4.5万次攻击和5300多个后门》