Falha crítica no NGINX permite sequestro de tráfego web

Pesquisadores divulgaram detalhes de uma campanha ativa de sequestro de tráfego web que tem como alvo servidores NGINX e painéis de gerenciamento como o Baota Panel (BT). A ofensiva tem como objetivo interceptar comunicações legítimas entre usuários e sites e redirecioná-las por meio da infraestrutura controlada por hackers.

De acordo com análises conduzidas pelo Datadog Security Labs, a campanha está associada à exploração recente da vulnerabilidade React2Shell, classificada com pontuação máxima de severidade (CVSS 10.0). O método consiste na injeção de configurações maliciosas no NGINX para capturar requisições legítimas e redirecioná-las para servidores de backend sob controle dos invasores.

Segundo Ryan Simon, pesquisador envolvido na investigação, as configurações adulteradas utilizam diretivas como proxy_pass para interceptar o tráfego em caminhos específicos de URL. A campanha tem foco em domínios de topo associados à Ásia (.in, .id, .pe, .bd, .th), infraestrutura de hospedagem chinesa especialmente ambientes com o Baota Panel além de domínios governamentais e educacionais (.gov e .edu).

A atividade envolve scripts em shell que modificam diretamente arquivos de configuração do NGINX. Esses scripts fazem parte de um toolkit em múltiplos estágios, projetado para garantir persistência e reduzir erros durante a criação de regras maliciosas. Entre os principais componentes identificados estão:

zx.sh: atua como orquestrador, executando os estágios seguintes por meio de utilitários legítimos como curl e wget, ou estabelecendo conexões TCP diretas quando essas ferramentas são bloqueadas;

bt.sh: direcionado especificamente a ambientes com Baota Panel, sobrescrevendo arquivos de configuração do NGINX;

4zdh.sh: enumera locais comuns de configuração do NGINX e minimiza falhas durante a injeção das regras;

zdh.sh: adota uma abordagem mais restrita, focando em NGINX em Linux ou containers e em TLDs como .in e .id;

ok.sh: gera relatórios detalhando todas as regras ativas de sequestro de tráfego.

Embora não haja atribuição conclusiva sobre os hackers responsáveis, a avaliação dos pesquisadores aponta, com confiança moderada, que o acesso inicial aos sistemas ocorreu por meio da exploração do React2Shell. O toolkit observado inclui mecanismos de descoberta de alvos e scripts voltados à persistência, reforçando o caráter estruturado da campanha.

O alerta surge em paralelo a dados divulgados pela GreyNoise, que identificou dois endereços IP responsáveis por 56% das tentativas de exploração do React2Shell semanas após sua divulgação pública. Entre janeiro e fevereiro de 2026, mais de 1.080 IPs únicos participaram dessas tentativas. Os padrões pós-exploração indicam interesse em acesso interativo aos sistemas comprometidos, com abertura de reverse shells e, em alguns casos, instalação de cryptominers.

O cenário se agrava com a descoberta de uma campanha coordenada de reconhecimento contra infraestruturas como Citrix ADC Gateway e NetScaler Gateway, utilizando dezenas de milhares de proxies residenciais e um único endereço IP hospedado no Microsoft Azure para identificar painéis de login e enumerar versões. Segundo a GreyNoise, a operação combinou descoberta massiva e análise direcionada, sugerindo planejamento e coordenação avançados.