كشفت تقارير بحثية متقاطعة، الخميس 5 فبراير 2026، عن حملة نشطة تستهدف تحويل مسار حركة الويب عبر خوادم NGINX ولوحات إدارة الاستضافة مثل Baota BT. وتعتمد الحملة على حقن برمجيات خبيثة داخل ملفات الإعدادات بهدف اعتراض الطلبات الشرعية وتوجيهها إلى خوادم خلفية يسيطر عليها المهاجمون.
ووفق Datadog Security Labs، فإن هذا النشاط يرتبط بموجة استغلال مستمرة لثغرة React2Shell، المصنفة كثغرة حرجة جداً تحت الرمز CVE-2025-55182 وبدرجة خطورة قصوى (10.0)، حيث توظف إعدادات NGINX لاعتراض حركة المستخدمين على مسارات URL محددة وإعادة توجيهها عبر أمر proxy_pass إلى نطاقات مشبوهة.
تقنيات حقن الإعدادات وتحويل مسارات البيانات
تعتمد آلية تحويل المسار، بحسب تحليل Datadog Security Labs، على تشغيل سكربتات Shell متعددة المراحل تحقن من خلالها كتل location داخل ملفات إعدادات NGINX، مع توخي الحذر لضمان استمرار عمل الخدمة، ثم إعادة تحميل النظام بعد اختبار التهيئة. وتستهدف هذه الكتل مسارات محددة لالتقاط طلبات البيانات وتوجيهها إلى خوادم المهاجمين، ما يفتح الباب أمام التجسس على جلسات المستخدمين أو حقن محتويات غير مشروعة، بناء على طبيعة التطبيق المستهدف.
ورصدت التقارير عدة مكونات تقنية ضمن العدة الهجومية، أبرزها zx.sh الذي يعمل كمنسق للعمليات باستخدام أدوات مثل curl وwget، مع الاعتماد على اتصال TCP خام في حال حظر تلك الأدوات. كما شملت العدة سكربت bt.sh الذي يستهدف بيئات Baota BT لتعديل ملفات الإعدادات، وسكربت 4zdh.sh المخصص لمسح مواقع التهيئة وتقليل الأخطاء التقنية أثناء الحقن، إضافة إلى zdh.sh الذي يركز على أنظمة Linux والحاويات ومسارات مثل /etc/nginx/sites-enabled. كما جرى رصد سكربت ok.sh المختص باستخراج تقارير القواعد النشطة وإرسالها إلى خوادم التحكم.
وعلى الصعيد التشغيلي، أشارت Datadog إلى استخدام ملفات لضمان الثبات مثل /tmp/.domain_group_map.conf، وآلية لرفع البيانات عبر ملف مؤقت يحمل اسم nginx_scan.txt قبل إرساله إلى البنية التحتية للمهاجمين.
استهداف النطاقات الحكومية والتعليمية في القارة الآسيوية
ركزت الحملة بشكل أساسي على نطاقات عليا آسيوية تشمل .in و.id و.pe و.bd و.th، مع رصد مؤشرات لبيئات استضافة صينية مرتبطة بـBaota. وشمل الاستهداف نطاقات حساسة تابعة لمؤسسات حكومية وتعليمية (.gov و.edu).
وفي سياق متصل، نشرت GreyNoise في 2 فبراير 2026 قراءة لبيانات الاستغلال، أظهرت أن عنواني IP اثنين فقط كانا وراء 56% من محاولات الاستغلال المرصودة، والتي بلغ إجماليها 1,419,718 محاولة خلال أسبوع واحد. وأوضحت البيانات أن أحد المصدرين استخدم أسلوب Reverse shell، بينما ركز الآخر على تشغيل برمجيات تعدين العملات المشفرة XMRig.
وتشير الخلفية التقنية لثغرة React2Shell، المسجلة لدى قاعدة البيانات الوطنية للثغرات NVD، إلى أنها تتيح تنفيذ أوامر عن بُعد قبل المصادقة، نتيجة خلل في معالجة البيانات ضمن React Server Components في إصدارات معينة، ما يسمح للمهاجمين بإرسال طلبات HTTP تقود إلى اختراق الأنظمة والتحكم بها.
