Cybersecurity-onderzoekers hebben details bekendgemaakt van een actieve campagne voor het kapen van internetverkeer die zich richtte op NGINX-installaties en beheerpanelen zoals Baota (BT) in een poging deze via de infrastructuur van de aanvaller te leiden.
Datadog Security Labs zei dat het bedreigingsactoren heeft waargenomen die verband houden met de recente exploitatie van React2Shell (CVE-2025-55182, CVSS-score: 10.0) met behulp van kwaadaardige NGINX-configuraties om de aanval uit te voeren.
“De kwaadaardige configuratie onderschept legitiem webverkeer tussen gebruikers en websites en leidt dit via door de aanvaller gecontroleerde backend-servers”, aldus beveiligingsonderzoeker Ryan Simon. “De campagne richt zich op Aziatische TLD’s (.in, .id, .pe, .bd, .th), Chinese hostinginfrastructuur (Baota Panel) en overheids- en onderwijs-TLD’s (.edu, .gov).”
De activiteit omvat het gebruik van shell-scripts om kwaadaardige configuraties te injecteren in NGINX, een open-source reverse proxy en load balancer voor het beheer van webverkeer. Deze “locatie”-configuraties zijn ontworpen om inkomende verzoeken op bepaalde vooraf gedefinieerde URL-paden op te vangen en deze om te leiden naar domeinen onder controle van de aanvallers via de “proxy_pass”-richtlijn.
De scripts maken deel uit van een meerfasige toolkit die persistentie en het creëren van kwaadaardige configuratiebestanden mogelijk maakt die kwaadaardige richtlijnen bevatten om webverkeer om te leiden. De componenten van de toolkit worden hieronder vermeld:
- zx.shdie fungeert als de orkestrator om de volgende fasen uit te voeren via legitieme hulpprogramma’s zoals curl of wget. In het geval dat de twee programma’s worden geblokkeerd, wordt er een onbewerkte TCP-verbinding gemaakt om een HTTP-verzoek te verzenden
- bt.shdat zich richt op de Baota (BT) Management Panel-omgeving om NGINX-configuratiebestanden te overschrijven
- 4zdh.shdat algemene Nginx-configuratielocaties opsomt en stappen onderneemt om fouten te minimaliseren bij het maken van de nieuwe configuratie
- zdh.shdat een smallere targetingaanpak hanteert door zich voornamelijk te concentreren op Linux- of gecontaineriseerde NGINX-configuraties en zich te richten op topniveaudomeinen (TLD’s) zoals .in en .id
- oke.shdie verantwoordelijk is voor het genereren van een rapport met daarin alle actieve NGINX-verkeerskapingsregels
“De toolkit bevat doeldetectie en verschillende scripts die zijn ontworpen voor persistentie en het creëren van kwaadaardige configuratiebestanden met richtlijnen die bedoeld zijn om webverkeer om te leiden.
De onthulling komt zoals GreyNoise zei dat twee IP-adressen – 193.142.147(.)209 en 87.121.84(.)24 – verantwoordelijk zijn voor 56% van alle waargenomen exploitatiepogingen twee maanden nadat React2Shell openbaar werd gemaakt. Tussen 26 januari en 2 februari 2026 zijn in totaal 1.083 unieke bron-IP-adressen betrokken bij de exploitatie van React2Shell.
“De dominante bronnen implementeren verschillende post-exploitatie-payloads: de ene haalt cryptomining-binaire bestanden op van staging-servers, terwijl de andere reverse shells rechtstreeks naar het scanner-IP opent”, aldus het bedrijf voor bedreigingsinformatie. “Deze aanpak suggereert interesse in interactieve toegang in plaats van geautomatiseerde extractie van bronnen.”
Het volgt ook op de ontdekking van een gecoördineerde verkenningscampagne gericht op de Citrix ADC Gateway- en Netscaler Gateway-infrastructuur, waarbij gebruik wordt gemaakt van tienduizenden residentiële proxy’s en een enkel Microsoft Azure IP-adres (“52.139.3(.)76”) om inlogpanelen te ontdekken.
“De campagne kende twee verschillende modi: een massale gedistribueerde ontdekkingsoperatie van het inlogpaneel met behulp van residentiële proxyrotatie, en een geconcentreerde, door AWS gehoste versie-onthullingssprint”, merkte GreyNoise op. “Ze hadden complementaire doelstellingen: zowel het vinden van inlogpanelen als het opsommen van versies, wat gecoördineerde verkenning suggereert.”
