Los investigadores de ciberseguridad han detallado una campaña activa de secuestro de tráfico web dirigida a instalaciones de NGINX y paneles administrativos como Baota (BT) en un intento de enrutarlos a través de la infraestructura de los atacantes.
Datadog Security Labs dijo que ha observado actores de amenazas asociados con exploits recientes de React2Shell (CVE-2025-55182, puntuación CVSS: 10.0) que utilizan configuraciones maliciosas de NGINX para realizar ataques.
«La configuración maliciosa intercepta el tráfico web legítimo entre usuarios y sitios web y lo enruta a través de servidores controlados por el atacante», dijo el investigador de seguridad Ryan Simon. «Esta campaña está dirigida a los TLD asiáticos (.in, .id, .pe, .bd, .th), la infraestructura de alojamiento china (panel Baota) y los TLD gubernamentales y educativos (.edu, .gov)».
Esta actividad implica el uso de scripts de shell para inyectar configuraciones maliciosas en NGINX, un proxy inverso de código abierto y equilibrador de carga para la gestión del tráfico web. Estas configuraciones de «ubicación» están diseñadas para capturar solicitudes entrantes en rutas URL predefinidas específicas y redirigirlas a dominios bajo el control del atacante a través de la directiva «proxy_pass».
Estos scripts son parte de un conjunto de herramientas de varias etapas que facilita la persistencia y la creación de archivos de configuración maliciosos que incluyen directivas maliciosas para redirigir el tráfico web. Los componentes del kit de herramientas son:
zx.sh actúa como un orquestador que ejecuta etapas posteriores mediante utilidades habituales como curl y wget. Si los dos programas están bloqueados, crean conexiones TCP sin formato y envían solicitudes HTTP. bt.sh apunta al entorno del panel de administración de Baota (BT) y sobrescribe el archivo de configuración de NGINX. 4zdh.sh enumera ubicaciones de configuración comunes de Nginx y toma medidas para minimizar los errores al crear nuevas configuraciones. zdh.sh adopta un enfoque de orientación más limitado, dirigido a dominios de nivel superior, centrado principalmente en Linux o configuraciones NGINX en contenedores. (TLD) como .in y .id ok.sh. Genere un informe que detalle todas las reglas activas de secuestro de tráfico NGINX.
“El kit de herramientas contiene varios scripts diseñados para la detección de objetivos, la persistencia y la creación de archivos de configuración maliciosos que contienen directivas destinadas a redirigir el tráfico web.
Esta divulgación se produce dos meses después de la publicación de React2Shell y después de que GreyNoise dijera que dos direcciones IP (193.142.147(.)209 y 87.121.84(.)24) representaban el 56% de todos los intentos de explotación observados. Desde el 26 de enero de 2026 hasta el 2 de febrero de 2026, un total de 1.083 direcciones IP de origen únicas estuvieron involucradas en la explotación de React2Shell.
«Las fuentes primarias implementan cargas útiles posteriores a la explotación separadas: una recupera el binario de criptominería de un servidor de prueba y la otra abre un shell inverso directamente a la IP del escáner», dijo la firma de inteligencia de amenazas. «Este enfoque sugiere un interés en el acceso interactivo en lugar de la extracción automatizada de recursos».
También sigue al descubrimiento de una campaña de reconocimiento coordinada dirigida a la infraestructura de Citrix ADC Gateway y Netscaler Gateway utilizando decenas de miles de servidores proxy residenciales y una única dirección IP de Microsoft Azure (‘52.139.3(.)76’) para descubrir paneles de inicio de sesión.
«Esta campaña se ejecutó en dos modos diferentes: una operación de descubrimiento de panel de inicio de sesión distribuido a gran escala con rotación de servidores proxy residenciales y un sprint intensivo de divulgación de versiones alojado en AWS», dijo GreyNoise. «Tienen propósitos complementarios tanto de descubrimiento del panel de inicio de sesión como de enumeración de versiones, lo que sugiere un reconocimiento coordinado».
Source link
