Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một chiến dịch tấn công chiếm quyền điều hướng lưu lượng truy cập web đang diễn ra, nhắm mục tiêu vào các cài đặt NGINX và bảng điều khiển quản lý như Baota (BT) nhằm chuyển hướng lưu lượng này qua cơ sở hạ tầng của kẻ tấn công.
Datadog Security Labs cho biết họ đã quan sát thấy các tác nhân đe dọa liên quan đến việc khai thác lỗ hổng React2Shell gần đây (CVE-2025-55182, điểm CVSS: 10.0) bằng cách sử dụng các cấu hình NGINX độc hại để thực hiện cuộc tấn công.
"Cấu hình độc hại này chặn lưu lượng truy cập web hợp pháp giữa người dùng và trang web, sau đó chuyển hướng nó qua các máy chủ backend do kẻ tấn công kiểm soát," nhà nghiên cứu bảo mật Ryan Simon cho biết. "Chiến dịch này nhắm mục tiêu vào các TLD châu Á (.in, .id, .pe, .bd, .th), cơ sở hạ tầng lưu trữ của Trung Quốc (Baota Panel) và các TLD của chính phủ và giáo dục (.edu, .gov)."
Hoạt động này liên quan đến việc sử dụng các shell script để chèn các cấu hình độc hại vào NGINX, một reverse proxy và load balancer mã nguồn mở dùng để quản lý lưu lượng truy cập web. Các cấu hình "location" này được thiết kế để nắm bắt các yêu cầu đến trên một số đường dẫn URL được xác định trước và chuyển hướng chúng đến các miền dưới sự kiểm soát của kẻ tấn công thông qua chỉ thị "proxy_pass".
Các script là một phần của bộ công cụ nhiều giai đoạn nhằm hỗ trợ duy trì quyền truy cập và tạo các tệp cấu hình độc hại chứa các chỉ thị nhằm chuyển hướng lưu lượng truy cập web. Các thành phần của bộ công cụ được liệt kê dưới đây:
- zx.sh, đóng vai trò là công cụ điều phối để thực thi các giai đoạn tiếp theo thông qua các tiện ích hợp pháp như curl hoặc wget. Trong trường hợp hai chương trình này bị chặn, nó sẽ tạo một kết nối TCP thô để gửi yêu cầu HTTP.
- bt.sh, nhắm mục tiêu vào môi trường Baota (BT) Management Panel để ghi đè các tệp cấu hình NGINX.
- 4zdh.sh, liệt kê các vị trí cấu hình NGINX phổ biến và thực hiện các bước để giảm thiểu lỗi khi tạo cấu hình mới.
- zdh.sh, áp dụng phương pháp nhắm mục tiêu hẹp hơn bằng cách tập trung chủ yếu vào các cấu hình NGINX trên Linux hoặc dạng container và nhắm mục tiêu vào các top-level domains (TLD) như .in và .id.
- ok.sh, chịu trách nhiệm tạo báo cáo chi tiết tất cả các quy tắc chiếm quyền điều hướng lưu lượng NGINX đang hoạt động.
Bộ công cụ này chứa tính năng phát hiện mục tiêu và một số script được thiết kế để duy trì quyền truy cập và tạo các tệp cấu hình độc hại chứa các chỉ thị nhằm chuyển hướng lưu lượng truy cập web.
Thông tin tiết lộ này được đưa ra khi GreyNoise cho biết hai địa chỉ IP – 193.142.147[.]209 và 87.121.84[.]24 – chiếm 56% tổng số nỗ lực khai thác được quan sát hai tháng sau khi lỗ hổng React2Shell được công bố rộng rãi. Tổng cộng có 1.083 địa chỉ IP nguồn duy nhất đã tham gia vào việc khai thác React2Shell từ ngày 26 tháng 1 đến ngày 2 tháng 2 năm 2026.
"Các nguồn tấn công chủ đạo triển khai các payload sau khai thác khác nhau: một tải về các binary đào tiền điện tử từ máy chủ trung gian, trong khi một nguồn khác mở reverse shells trực tiếp đến IP của máy quét," công ty tình báo mối đe dọa cho biết. "Cách tiếp cận này cho thấy sự quan tâm đến quyền truy cập tương tác hơn là việc khai thác tài nguyên tự động."
Điều này cũng diễn ra sau khi phát hiện một chiến dịch trinh sát phối hợp nhắm mục tiêu vào cơ sở hạ tầng Citrix ADC Gateway và Netscaler Gateway sử dụng hàng chục nghìn proxy dân cư và một địa chỉ IP Microsoft Azure duy nhất ("52.139.3[.]76") để phát hiện các bảng đăng nhập.
"Chiến dịch này chạy hai chế độ riêng biệt: một hoạt động phát hiện bảng đăng nhập phân tán lớn sử dụng xoay vòng proxy dân cư, và một đợt tiết lộ phiên bản tập trung được lưu trữ trên AWS," GreyNoise lưu ý. "Chúng có các mục tiêu bổ sung là vừa tìm kiếm các bảng đăng nhập, vừa liệt kê các phiên bản, điều này cho thấy hoạt động trinh sát được phối hợp."
