Un nuovo scenario di rischio per l’infrastruttura web è stato descritto da Datadog Security Labs nel loro approfondimento del 4 febbraio 2026.
La ricerca analizza come i malintenzionati stiano manipolando configurazioni legittime di NGINX per intercettare e reindirizzare traffico web verso server sotto il loro controllo. Qui esaminiamo i dettagli tecnici e le implicazioni di questa campagna, usando solo quanto riportato nell’analisi originale.
Come funziona il dirottamento di traffico web
La vicenda parte dall’osservazione che gli attaccanti sfruttano configurazioni NGINX già esistenti piuttosto che una vulnerabilità del software. In pratica, dopo aver ottenuto accesso al sistema, i threat actor inseriscono blocchi location malevoli nei file di configurazione di NGINX.
Advertising
Questi blocchi non sono banali redirect: intercettano richieste legittime e le riscrivono in modo da inoltrarle, tramite direttive come proxy_pass, verso backend che gli attaccanti controllano. La sintassi tipica include anche la costruzione dinamica dell’URL originale e l’uso di header per preservare contesto e credenziali percepibili.
Questo tipo di manipolazione può passare inosservato perché il traffico raggiunge in prima battuta il sito legittimo, e solo internamente viene fatto il routing verso endpoint maligni. Gli strumenti standard di monitoraggio di una configurazione NGINX raramente evidenziano tali modifiche a meno che non si controllino esplicitamente i file di configurazione.
Analisi tecnica della campagna
I ricercatori hanno scoperto vari script automatizzati che compongono un toolkit articolato. Lo script zx.sh funge da orchestratore: una volta che gli attaccanti hanno accesso, coordina l’esecuzione delle fasi successive e scarica strumenti o payload aggiuntivi.
Altri script come bt.sh sono specifici per l’ambiente Baota (BT) e mirano a sovrascrivere configurazioni NGINX nei percorsi tipici usati da questi pannelli di controllo.
Script più avanzati (4zdh.sh, zdh.sh) eseguono l’iniezione in configurazioni standard, con tecniche per evitare errori e garantire che il servizio NGINX possa ricaricare le configurazioni malevoli senza interrompere il traffico.
Advertising
Infine, ok.sh raccoglie informazioni sulle configurazioni compromesse e invia un rapporto verso un server di comando e controllo controllato dagli attaccanti.
Impatto e osservazioni
Questa campagna prende di mira domini con estensioni geografiche specifiche e infrastrutture di hosting integrate in ambienti regionali, usando configurazioni legittime come veicolo per il dirottamento.
Nel report Datadog Security Labs sottolinea che monitorare le modifiche ai file di configurazione NGINX può aiutare a individuare le tracce di compromissione prima che il traffico venga reindirizzato.
La ricerca approfondita di Datadog Security Labs porta alla luce una forma di attacco che, sfruttando strumenti e direttive legittimi, riesce a manipolare il percorso delle richieste web senza far scattare gli allarmi tradizionali.
Le implicazioni di questa campagna mostrano quanto possa essere sottile il confine fra configurazioni legittime e vettori di attacco, soprattutto in componenti critiche come i server reverse proxy.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella.
Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.