Investigadores de ciberseguridad han revelado detalles de una campaña activa de secuestro de tráfico web dirigida a instalaciones de NGINX y paneles de gestión como Baota (BT), redirigiendo el tráfico a través de la infraestructura del atacante. Datadog Security Labs detectó que actores de amenazas vinculados a la reciente explotación de React2Shell (CVE-2025-55182, puntuación CVSS: 10.0) utilizaron configuraciones maliciosas de NGINX para llevar a cabo el ataque.
La configuración maliciosa intercepta el tráfico web legítimo entre usuarios y sitios web y lo enruta a través de servidores backend controlados por el atacante. La campaña se dirige a TLD asiáticos (.in, .id, .pe, .bd, .th), infraestructura de hosting china (Baota Panel) y TLD gubernamentales y educativos (.edu, .gov).
La actividad implica el uso de scripts shell para inyectar configuraciones maliciosas en NGINX, un proxy inverso y balanceador de carga de código abierto. Estas configuraciones de 'location' capturan solicitudes entrantes en rutas URL predefinidas y las redirigen a dominios controlados por los atacantes mediante la directiva 'proxy_pass'. Los scripts forman parte de un conjunto de herramientas multi-etapa que facilita la persistencia y la creación de archivos de configuración maliciosos.
- zx.sh: orquestador que ejecuta etapas posteriores mediante utilidades legítimas como curl o wget. Si estos programas están bloqueados, crea una conexión TCP sin procesar para enviar una solicitud HTTP.
- bt.sh: apunta al entorno del panel de gestión Baota (BT) para sobrescribir archivos de configuración de NGINX.
- 4zdh.sh: enumera ubicaciones comunes de configuración de NGINX y minimiza errores al crear la nueva configuración.
- zdh.sh: enfoque más específico centrado en configuraciones de NGINX en Linux o contenedores, apuntando a TLD como .in y .id.
- ok.sh: genera un informe detallando todas las reglas activas de secuestro de tráfico de NGINX.
Datadog indicó que el conjunto de herramientas incluye scripts para descubrimiento de objetivos, persistencia y creación de archivos de configuración maliciosos con directivas para redirigir el tráfico web. Ryan Simon, investigador de seguridad, declaró que no hay detalles adicionales ni atribución sobre los actores, pero evaluó con 'confianza moderada' que obtuvieron acceso inicial tras la explotación de React2Shell.
La divulgación coincide con datos de GreyNoise que indican que dos direcciones IP (193.142.147.209 y 87.121.84.24) representan el 56% de los intentos de explotación observados dos meses después de la divulgación pública de React2Shell. Un total de 1,083 direcciones IP únicas estuvieron involucradas en la explotación entre el 26 de enero y el 2 de febrero de 2026. GreyNoise señaló que 'las fuentes dominantes despliegan payloads post-explotación distintos: uno recupera binarios de criptominería desde servidores de staging, mientras que el otro abre shells inversos directamente a la IP del escáner', lo que sugiere un interés en acceso interactivo.
Además, se descubrió una campaña coordinada de reconocimiento dirigida a infraestructuras de Citrix ADC Gateway y Netscaler Gateway utilizando decenas de miles de proxies residenciales y una única dirección IP de Microsoft Azure (52.139.3.76) para descubrir paneles de inicio de sesión. GreyNoise señaló que la campaña ejecutó dos modos distintos: una operación masiva de descubrimiento de paneles de inicio de sesión mediante rotación de proxies residenciales y una carrera concentrada de divulgación de versiones alojada en AWS, lo que sugiere un reconocimiento coordinado.
