Los investigadores de ciberseguridad han revelado detalles de una campaña activa de secuestro de tráfico web dirigida a instalaciones y paneles de administración de NGINX, como Baota (BT), en un intento de enrutarlo a través de la infraestructura del atacante.

Laboratorios de seguridad de Datadog dijo observó a los actores de amenazas asociados con la reciente React 2 Shell ( CVE-2025-55182 , puntuación CVSS: 10.0) explotación mediante configuraciones maliciosas de NGINX para llevar a cabo el ataque.

«La configuración maliciosa intercepta el tráfico web legítimo entre los usuarios y los sitios web y lo dirige a través de servidores de fondo controlados por los atacantes», afirma el investigador de seguridad Ryan Simon. «La campaña se centra en los TLD asiáticos (.in, .id, .pe, .bd, .th), la infraestructura de alojamiento china (Baota Panel) y los TLD gubernamentales y educativos (.edu, .gov)».

adsense

La actividad implica el uso de scripts de shell para inyectar configuraciones maliciosas en NGINX, un proxy inverso de código abierto y un balanceador de cargas para la administración del tráfico web. Estas configuraciones de «ubicación» están diseñadas para capturar las solicitudes entrantes en determinadas rutas URL predefinidas y redirigirlas a los dominios que están bajo el control de los atacantes a través del» proxy_pass «directiva.

Los scripts forman parte de un conjunto de herramientas de varias etapas que facilita la persistencia y la creación de archivos de configuración maliciosos que incorporan las directivas maliciosas para redirigir el tráfico web. Los componentes del conjunto de herramientas se enumeran a continuación:

  • zx.sh , que actúa como orquestador para ejecutar las etapas posteriores a través de utilidades legítimas como curl o wget. En caso de que los dos programas estén bloqueados, crea una conexión TCP sin procesar para enviar una solicitud HTTP
  • bt.sh , que apunta al entorno del panel de administración de Baota (BT) para sobrescribir los archivos de configuración de NGINX
  • 4zdh.sh , que enumera las ubicaciones de configuración comunes de Nginx y toma medidas para minimizar los errores al crear la nueva configuración
  • zdh.sh , que adopta un enfoque de segmentación más limitado al centrarse principalmente en las configuraciones de Linux o NGINX en contenedores y centrarse en los dominios de nivel superior (TLD) como .in y.id
  • ok.sh , que se encarga de generar un informe en el que se detallan todas las reglas activas de secuestro de tráfico de NGINX

«El kit de herramientas contiene la detección de objetivos y varios scripts diseñados para la persistencia y la creación de archivos de configuración maliciosos que contienen directivas destinadas a redirigir el tráfico web.

La revelación se produce cuando GreyNoise afirma que dos direcciones IP, 193.142.147 [.] 209 y 87.121.84 [.] 24, representan el 56% de todos los intentos de explotación observados dos meses después de que React2Shell se divulgara públicamente. Un total de 1.083 direcciones IP de origen únicas estuvieron implicadas en la explotación de React2Shell entre el 26 de enero y el 2 de febrero de 2026.

enlaces

«Las fuentes dominantes despliegan distintas cargas útiles posteriores a la explotación: una recupera los archivos binarios de criptominería de los servidores de almacenamiento provisional, mientras que la otra abre las capas inversas directamente a la IP del escáner», dijo la firma de inteligencia de amenazas dijo . «Este enfoque sugiere interés en el acceso interactivo más que en la extracción automatizada de recursos».

También sigue al descubrimiento de una campaña de reconocimiento coordinada dirigida a la infraestructura de Citrix ADC Gateway y Netscaler Gateway que utiliza decenas de miles de proxies residenciales y una única dirección IP de Microsoft Azure («52.139.3 [.] 76") para descubrir los paneles de inicio de sesión.

«La campaña utilizó dos modos distintos: una operación masiva de descubrimiento de paneles de inicio de sesión distribuidos mediante la rotación de proxies residenciales y un sprint concentrado de divulgación de versiones alojado en AWS», GreyNoise apuntado . «Tenían objetivos complementarios: encontrar paneles de inicio de sesión y enumerar las versiones, lo que sugiere un reconocimiento coordinado».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.