كشف باحثون في مجال الأمن السيبراني عن تفاصيل حملة نشطة لاختطاف حركة مرور الويب تستهدف إصدارات NGINX ولوحات التحكم الإدارية مثل Baota (BT)، في محاولة لتوجيهها عبر البنية التحتية للمهاجمين. تأتي هذه التطورات لتسلط الضوء على المخاطر المستمرة التي تواجه خوادم الويب وأنظمة الإدارة.
ووفقاً لتقرير مختبرات Datadog Security Labs، لاحظ الباحثون أن جهات فاعلة للتهديدات مرتبطة بالاستغلال الحديث لثغرة React2Shell (CVE-2025-55182، درجة CVSS: 10.0) تستخدم إعدادات NGINX خبيثة لتنفيذ هذا الهجوم. وتستهدف الحملة نطاقات محددة وخدمات استضافة تثير قلق المختصين.
حملة اختطاف حركة مرور NGINX
أوضح الباحث الأمني رايان سيمون أن الإعدادات الخبيثة تعترض حركة مرور الويب الشرعية بين المستخدمين والمواقع الإلكترونية، وتقوم بتوجيهها عبر خوادم خلفية يسيطر عليها المهاجمون. وتستهدف الحملة نطاقات المستوى الأعلى الآسيوية (.in، .id، .pe، .bd، .th)، والبنية التحتية للاستضافة الصينية (لوحة Baota)، ونطاقات الحكومة والمؤسسات التعليمية (.edu، .gov).
تتضمن هذه الأنشطة استخدام نصوص برمجية (shell scripts) لحقن إعدادات خبيثة في NGINX، وهو خادم وكيل عكسي وموازن أحمال مفتوح المصدر لإدارة حركة مرور الويب. تم تصميم إعدادات “الموقع” هذه لالتقاط الطلبات الواردة على مسارات URL محددة مسبقًا وإعادة توجيهها إلى نطاقات تحت سيطرة المهاجمين باستخدام توجيه “proxy_pass”.
أدوات الحملة الخبيثة
تمثل النصوص البرمجية جزءًا من مجموعة أدوات متعددة المراحل تسهل الثبات وإنشاء ملفات إعدادات خبيثة تتضمن التوجيهات الضارة لإعادة توجيه حركة مرور الويب. وتتضمن مكونات هذه المجموعة:
zx.sh: يعمل كمنسق لتنفيذ المراحل اللاحقة من خلال أدوات شرعية مثل curl أو wget. وفي حال تم حظر البرنامجين، فإنه ينشئ اتصال TCP خام لإرسال طلب HTTP.
bt.sh: يستهدف بيئة لوحة تحكم Baota (BT) للكتابة فوق ملفات إعداد NGINX.
4zdh.sh: يقوم بتعداد مواقع إعداد NGINX الشائعة ويتخذ خطوات لتقليل الأخطاء عند إنشاء الإعداد الجديد.
zdh.sh: يتبنى نهج استهداف أضيق بالتركيز بشكل أساسي على إعدادات NGINX على أنظمة Linux أو الحاويات، ويستهدف نطاقات المستوى الأعلى مثل .in و .id.
ok.sh: مسؤول عن إنشاء تقرير مفصل بجميع قواعد اختطاف حركة مرور NGINX النشطة.
تأثير استهداف NGINX
تأتي هذه التفاصيل في وقت ذكرت فيه GreyNoise أن عنواني IP، وهما 193.142.147[.]209 و 87.121.84[.]24، مسؤولان عن 56% من جميع محاولات الاستغلال المرصودة بعد شهرين من الكشف العلني عن React2Shell. وقد شارك ما مجموعه 1,083 عنوان IP مصدر فريد في استغلال React2Shell بين 26 يناير و 2 فبراير 2026.
ووفقًا لشركة الاستخبارات، فإن المصادر المهيمنة تنشر حمولات ما بعد الاستغلال متميزة؛ حيث يقوم أحدها بجلب ملفات التعدين المشفرة من خوادم التخزين، بينما يقوم الآخر بفتح Reverse shells مباشرة إلى عنوان IP للمسح. ويشير هذا النهج إلى اهتمام بالوصول التفاعلي بدلاً من استخراج الموارد الآلية.
يأتي هذا أيضًا بعد اكتشاف حملة استطلاع منسقة تستهدف البنية التحتية لـ Citrix ADC Gateway و Netscaler Gateway باستخدام عشرات الآلاف من الوكلاء السكنيين وعنوان IP واحد لشبكة Microsoft Azure (“52.139.3[.]76”) لاكتشاف لوحات تسجيل الدخول. وكانت الحملة تعمل في وضعين مختلفين: عملية اكتشاف واسعة النطاق للوحات تسجيل الدخول الموزعة باستخدام تدوير الوكلاء السكنيين، وسباق كشف مكثف لإصدارات مستضافة على AWS. وكانت أهدافهم متكاملة لكل من العثور على لوحات تسجيل الدخول، وتعداد الإصدارات، مما يشير إلى استطلاع منسق.