Campaña de secuestro de tráfico web a través de NGINX comprometidos
Publicado el
Introducción
Investigadores de ciberseguridad han revelado información sobre una campaña activa de secuestro de tráfico web que afecta a instalaciones de NGINX y paneles de gestión como Baota (BT). Este ataque busca redirigir el tráfico legítimo a través de servidores controlados por los atacantes.
Detalles de la campaña
Datadog Security Labs ha informado que los actores de amenazas están explotando la vulnerabilidad React2Shell (CVE-2025-55182, con una puntuación CVSS de 10.0) mediante configuraciones maliciosas en NGINX. Según el investigador de seguridad Ryan Simon, estas configuraciones interceptan el tráfico entre usuarios y sitios web, redirigiéndolo a servidores backend controlados por los atacantes. La campaña se dirige principalmente a dominios de nivel superior (TLD) asiáticos como .in, .id, .pe, .bd, .th, así como a infraestructuras de alojamiento chinas y a TLDs gubernamentales y educativos como .edu y .gov.
Métodos utilizados
Los atacantes emplean scripts de shell para inyectar configuraciones maliciosas en NGINX, un proxy inverso y equilibrador de carga de código abierto. Estas configuraciones de "localización" están diseñadas para capturar solicitudes entrantes en rutas URL predefinidas y redirigirlas a dominios bajo el control de los atacantes mediante la directiva proxy_pass. Los scripts forman parte de un conjunto de herramientas de múltiples etapas que facilitan la persistencia y la creación de archivos de configuración maliciosos que contienen las directivas necesarias para redirigir el tráfico web.
Componentes del toolkit
Los componentes del toolkit son los siguientes: - zx.sh: Actúa como el orquestador del ataque, ejecutando etapas posteriores a través de utilidades legítimas como curl o wget. Si estos programas son bloqueados, establece una conexión TCP en bruto para enviar solicitudes HTTP. - bt.sh: Se dirige al entorno del panel de gestión de Baota (BT) para sobrescribir archivos de configuración de NGINX. - 4zdh.sh: Enumera ubicaciones comunes de configuración de NGINX y minimiza errores al crear una nueva configuración. - zdh.sh: Se centra en configuraciones de NGINX en Linux o en contenedores, apuntando a dominios como .in y .id. - ok.sh: Genera un informe detallado sobre todas las reglas de secuestro de tráfico NGINX activas.
Impacto de la explotación
La divulgación de esta campaña se produce en un contexto donde GreyNoise ha señalado que dos direcciones IP, 193.142.147[.]209 y 87.121.84[.]24, representan el 56% de todos los intentos de explotación observados dos meses después de la divulgación pública de React2Shell. Entre el 26 de enero y el 2 de febrero de 2026, se han registrado un total de 1,083 direcciones IP únicas involucradas en la explotación de esta vulnerabilidad. Los actores de amenazas utilizan diferentes cargas útiles post-explotación: una recupera binarios de cryptomining, mientras que la otra establece shells reversos directamente hacia la IP del escáner, lo que indica un interés en el acceso interactivo en lugar de la extracción automática de recursos.
Campañas de reconocimiento coordinadas
Además, se ha detectado una campaña de reconocimiento coordinada que apunta a la infraestructura de Citrix ADC Gateway y Netscaler Gateway. Esta operación utiliza decenas de miles de proxies residenciales y una única dirección IP de Microsoft Azure ("52.139.3[.]76") para descubrir paneles de inicio de sesión. GreyNoise ha destacado que esta campaña se desarrolla en dos modos distintos: una operación masiva de descubrimiento de paneles de inicio de sesión y una versión concentrada alojada en AWS, ambos con objetivos complementarios de encontrar paneles de inicio de sesión y enumerar versiones, lo que sugiere un reconocimiento coordinado.
Conclusión
La creciente complejidad y sofisticación de este tipo de ataques subraya la importancia de mantener configuraciones de servidor seguras y estar alerta ante nuevas vulnerabilidades. La comunidad de ciberseguridad debe permanecer vigilante ante estas amenazas y trabajar en la implementación de medidas de protección efectivas para mitigar el riesgo de secuestro de tráfico.