概要：大規模なウェブトラフィックハイジャックキャンペーン

サイバーセキュリティ研究者らは、アクティブなウェブトラフィックハイジャックキャンペーンの詳細を明らかにしました。このキャンペーンでは、悪意のあるNGINX設定が悪用され、Baota (BT) などの管理パネルを介して、ウェブトラフィックを攻撃者制御下のインフラストラクチャに誘導しています。

Datadog Security Labsは、最近のReact2Shell（CVE-2025-55182、CVSSスコア：10.0）の悪用に関連する脅威アクターが、この攻撃を実行するために悪意のあるNGINX設定を使用していることを観測しました。セキュリティ研究者のライアン・サイモン氏によると、「悪意のある設定は、ユーザーとウェブサイト間の正当なウェブトラフィックを傍受し、攻撃者制御下のバックエンドサーバーにルーティングします。」

このキャンペーンのターゲットは、主にアジア地域のTLD（.in、.id、.pe、.bd、.th）、中国のホスティングインフラ（Baota Panel）、および政府や教育機関のTLD（.edu、.gov）です。

攻撃手法と悪用されるNGINX設定

この活動には、シェルスクリプトを使用してNGINXに悪意のある設定を注入する手法が含まれています。NGINXは、ウェブトラフィック管理のためのオープンソースのリバースプロキシおよびロードバランサーです。これらの「location」設定は、特定の事前定義されたURLパス上の着信リクエストを捕捉し、「proxy_pass」ディレクティブを介して攻撃者の管理下にあるドメインにリダイレクトするように設計されています。

スクリプトは、持続性を確保し、ウェブトラフィックをリダイレクトするための悪意のあるディレクティブを含む設定ファイルを作成する多段階ツールキットの一部です。

攻撃者のツールキット

このツールキットの主なコンポーネントは以下の通りです。

• zx.sh：curlやwgetなどの正当なユーティリティを介して後続のステージを実行するオーケストレーターとして機能します。これらのプログラムがブロックされている場合は、生のTCP接続を作成してHTTPリクエストを送信します。
• bt.sh：Baota (BT) Management Panel環境を標的とし、NGINX設定ファイルを上書きします。
• 4zdh.sh：一般的なNGINX設定場所を列挙し、新しい設定を作成する際のエラーを最小限に抑えるための手順を実行します。
• zdh.sh：主にLinuxまたはコンテナ化されたNGINX構成に焦点を当て、.inや.idなどのトップレベルドメイン（TLD）を標的とする、より狭いアプローチを採用しています。
• ok.sh：アクティブなNGINXトラフィックハイジャックルールの詳細を報告する責任を負います。

初期アクセス経路と関連する脅威活動

Datadogは、この脅威アクターがReact2Shellの悪用によって初期アクセス権を取得した可能性が「中程度の確信度」で評価しています。

また、GreyNoiseは、React2Shellの公開から2か月間で、2つのIPアドレス（193.142.147[.]209および87.121.84[.]24）が観測された悪用試行全体の56%を占めていると報告しました。これらのIPは、クリプトマイニングバイナリを展開したり、スキャナーIPに直接リバースシェルを開いたりする、異なる後続ペイロードを使用しています。

さらに、Citrix ADC GatewayおよびNetscaler Gatewayインフラを標的とした協調的な偵察キャンペーンも確認されており、数万の居住用プロキシと単一のMicrosoft Azure IPアドレス（「52.139.3[.]76」）を使用してログインパネルを検出していました。GreyNoiseは、「このキャンペーンは、ログインパネルの発見とバージョンの列挙という相補的な目的を持っており、協調的な偵察を示唆している」と指摘しています。

---

元記事: https://thehackernews.com/2026/02/hackers-exploit-react2shell-to-hijack.html