Rcercatori di cybersicurezza hanno reso note le informazioni su una campagna attiva di dirottamento del traffico web, che ha colpito installazioni di NGINX e pannelli di gestione come Baota, tentando di reindirizzare il traffico attraverso l’infrastruttura degli attaccanti.
I Datadog Security Labs hanno osservato hacker associati all’exploit del React2Shell CVE-2025-55182, punteggio CVSS: 10.0 utilizzare configurazioni NGINX maligne per eseguire l’attacco.
Meccanismo dell’attacco
Le configurazioni dannose intercettano il legittimo traffico web tra utenti e siti, deviandolo verso server controllati dagli attaccanti. La campagna prende di mira domini di primo livello asiatici, infrastrutture di hosting cinesi e domini governativi ed educativi.
L’attività prevede l’uso di script di shell per iniettare configurazioni dannose in NGINX, progettate per catturare richieste in arrivo e reindirizzarle a domini sotto il controllo degli attaccanti.
Kit strumenti
Il kit include una serie di script per la persistenza e la creazione di file di configurazione malevoli. Alcuni degli script principali includono:
- zx.sh: orchester la fase successiva attraverso utility legittime come curl o wget.
- bt.sh: modifica i file di configurazione di NGINX nel pannello Baota.
- 4zdh.sh: elenca le posizioni comuni delle configurazioni NGINX.
- zdh.sh: focalizza su configurazioni di NGINX in ambienti Linux o containerizzati.
- ok.sh: genera rapporti sui dirottamenti attivi del traffico NGINX.
