Investigadores de ciberseguridad han revelado detalles de una campaña activa de secuestro de tráfico web que se ha dirigido a instalaciones de NGINX y paneles de administración como Baota (BT) en un intento de enrutarlo a través de la infraestructura del atacante.
Datadog Security Labs dijo que observó actores de amenazas asociados con la reciente explotación de React2Shell (CVE-2025-55182, puntuación CVSS: 10.0) utilizando configuraciones maliciosas de NGINX para realizar el ataque.
«La configuración maliciosa intercepta el tráfico web legítimo entre usuarios y sitios web y lo enruta a través de servidores backend controlados por el atacante», dijo el investigador de seguridad Ryan Simon. «La campaña está dirigida a los TLD asiáticos (.in, .id, .pe, .bd, .th), la infraestructura de alojamiento china (Baota Panel) y los TLD gubernamentales y educativos (.edu, .gov)».
La actividad implica el uso de scripts de shell para inyectar configuraciones maliciosas en NGINX, un proxy inverso de código abierto y equilibrador de carga para la gestión del tráfico web. Estas configuraciones de «ubicación» están diseñadas para capturar solicitudes entrantes en ciertas rutas URL predefinidas y redirigirlas a dominios bajo el control de los atacantes a través de la directiva «proxy_pass».
Los scripts son parte de un conjunto de herramientas de varias etapas que facilita la persistencia y la creación de archivos de configuración maliciosos que incorporan directivas maliciosas para redirigir el tráfico web. Los componentes del kit de herramientas se enumeran a continuación:
- zx.shque actúa como orquestador para ejecutar etapas posteriores a través de utilidades legítimas como curl o wget. En el caso de que los dos programas estén bloqueados, crea una conexión TCP sin formato para enviar una solicitud HTTP.
- bt.shque apunta al entorno del Panel de administración de Baota (BT) para sobrescribir los archivos de configuración de NGINX
- 4zdh.shque enumera ubicaciones de configuración comunes de Nginx y toma medidas para minimizar los errores al crear la nueva configuración.
- zdh.shque adopta un enfoque de orientación más limitado al centrarse principalmente en Linux o configuraciones NGINX en contenedores y apuntar a dominios de nivel superior (TLD) como .in y .id.
- ok.shque se encarga de generar un informe que detalla todas las reglas activas de secuestro de tráfico NGINX
«El conjunto de herramientas contiene descubrimiento de objetivos y varios scripts diseñados para la persistencia y la creación de archivos de configuración maliciosos que contienen directivas destinadas a redirigir el tráfico web», dijo Datadog.
Simon le dijo a The Hacker News por correo electrónico que no hay detalles ni atribuciones adicionales que pueda compartir sobre los actores de amenazas detrás de la campaña. Sin embargo, el investigador evaluó con «confianza moderada» que obtuvieron el acceso inicial tras la explotación de React2Shell.
La divulgación se produce cuando GreyNoise dijo que dos direcciones IP – 193.142.147(.)209 y 87.121.84(.)24 – representan el 56% de todos los intentos de explotación observados dos meses después de que React2Shell fuera divulgado públicamente. Un total de 1.083 direcciones IP de origen únicas estuvieron involucradas en la explotación de React2Shell entre el 26 de enero y el 2 de febrero de 2026.
«Las fuentes dominantes despliegan distintas cargas útiles post-explotación: una recupera archivos binarios de criptominería de servidores de prueba, mientras que la otra abre shells inversos directamente a la IP del escáner», dijo la firma de inteligencia de amenazas. «Este enfoque sugiere interés en el acceso interactivo en lugar de la extracción automatizada de recursos».
También sigue al descubrimiento de una campaña de reconocimiento coordinada dirigida a la infraestructura de Citrix ADC Gateway y Netscaler Gateway utilizando decenas de miles de servidores proxy residenciales y una única dirección IP de Microsoft Azure («52.139.3(.)76») para descubrir paneles de inicio de sesión.
«La campaña se ejecutó en dos modos distintos: una operación masiva de descubrimiento de panel de inicio de sesión distribuido utilizando rotación de proxy residencial y un sprint concentrado de divulgación de la versión alojada en AWS», señaló GreyNoise. «Tenían objetivos complementarios de encontrar paneles de inicio de sesión y enumerar versiones, lo que sugiere un reconocimiento coordinado».