Pesquisadores de segurança revelaram detalhes de uma campanha em andamento voltada ao sequestro de tráfego web, que tem como alvos servidores NGINX e painéis de gerenciamento como o Baota Panel (BT). A ação maliciosa busca interceptar comunicações legítimas entre usuários e sites, redirecionando o tráfego por meio de infraestrutura controlada por cibercriminosos.
De acordo com análises do Datadog Security Labs, a ofensiva está ligada à exploração recente da vulnerabilidade React2Shell, que possui classificação crítica máxima, com pontuação CVSS 10.0. A técnica consiste na inserção de configurações maliciosas no NGINX, permitindo capturar requisições válidas e encaminhá-las para servidores de backend sob controle dos atacantes.
Segundo o pesquisador Ryan Simon, envolvido na investigação, as configurações comprometidas utilizam diretivas como proxy_pass para interceptar o tráfego em caminhos específicos de URL. A campanha demonstra foco em domínios de topo associados à Ásia, como .in, .id, .pe, .bd e .th, além de ambientes de hospedagem chineses — especialmente aqueles que utilizam o Baota Panel — e também domínios governamentais e educacionais (.gov e .edu).
A atividade maliciosa envolve scripts em shell responsáveis por alterar diretamente os arquivos de configuração do NGINX. Esses scripts fazem parte de um toolkit em múltiplos estágios, desenvolvido para garantir persistência no sistema e reduzir falhas durante a criação das regras de sequestro de tráfego. Entre os principais componentes identificados estão:
-
zx.sh: atua como script principal, executando os estágios seguintes por meio de ferramentas legítimas como curl e wget, ou estabelecendo conexões TCP diretas quando essas utilidades são bloqueadas;
-
bt.sh: direcionado especificamente a servidores com Baota Panel, sobrescrevendo arquivos de configuração do NGINX;
-
4zdh.sh: identifica caminhos comuns de configuração do NGINX e minimiza erros durante a injeção das regras;
-
zdh.sh: opera de forma mais restrita, focando em ambientes Linux ou containers com NGINX e TLDs como .in e .id;
-
ok.sh: gera relatórios com o detalhamento das regras ativas de sequestro de tráfego.
Embora ainda não exista atribuição definitiva sobre os responsáveis pelos ataques, os pesquisadores avaliam, com grau moderado de confiança, que o acesso inicial aos sistemas comprometidos ocorreu por meio da exploração do React2Shell. A presença de mecanismos de descoberta de alvos e de scripts voltados à persistência reforça o nível de organização e planejamento da campanha.
O alerta coincide com dados divulgados pela GreyNoise, que identificou dois endereços IP responsáveis por cerca de 56% das tentativas de exploração do React2Shell semanas após a divulgação pública da falha. Entre janeiro e fevereiro de 2026, mais de 1.080 IPs únicos participaram dessas ações. Os padrões observados após a exploração indicam interesse em acesso interativo aos sistemas afetados, incluindo a abertura de reverse shells e, em alguns casos, a instalação de cryptominers.
O cenário se torna ainda mais preocupante com a identificação de uma campanha coordenada de reconhecimento contra infraestruturas como Citrix ADC Gateway e NetScaler Gateway. Essa operação utilizou dezenas de milhares de proxies residenciais e um único endereço IP hospedado no Microsoft Azure para localizar painéis de login e enumerar versões dos serviços. Segundo a GreyNoise, a combinação de varredura em larga escala e análise direcionada aponta para um alto nível de coordenação e sofisticação dos ataques.
