diff --git a/nginx/snippets/security_maps.conf b/nginx/snippets/security_maps.conf
index 9d2cf0d..af2ed6a 100644
--- a/nginx/snippets/security_maps.conf
+++ b/nginx/snippets/security_maps.conf
@@ -156,6 +156,10 @@ map $http_user_agent $is_protocol_violation {
 # 3. Geographic Risk (Requires GeoIP2 .mmdb files)
 map $geoip2_data_country_code $is_high_risk_country {
     default 0;
+    "CN" 1; # China
+    "RU" 1; # Russia
+    "KP" 1; # North Korea
+    "IR" 1; # Iran
     "CU" 1; # Cuba
     "SY" 1; # Syria
 }
@@ -223,36 +227,38 @@ map $is_bad_bot$is_suspicious_uri$is_suspicious_method$is_malicious_payload$is_h
 }
 
 # 3. Nível de Risco para Auditoria (Diagnóstico Descritivo JSON)
-map $is_bad_bot$is_suspicious_uri$is_suspicious_method$is_malicious_payload$is_high_risk_country$is_protocol_violation$is_spam_referer $risk_category {
-    "0000000" "LIMPO";
-    "~*...1..." "ATAQUE_CRITICO";
-    "~*......1" "ATAQUE_CRITICO";
-    "~*[1-9]{3,}" "ATAQUE_CRITICO"; # Combos triplos são críticos
-    "~*[1-9]{2}"  "RISCO_ALTO";    # Combos duplos são risco alto
+map $is_bad_bot$is_suspicious_uri$is_suspicious_method$is_malicious_payload$is_high_risk_country$is_protocol_violation$is_spam_referer$is_suspicious_header $risk_category {
+    "00000000" "LIMPO";
+    "~*...1...." "ATAQUE_CRITICO";
+    "~*......1." "ATAQUE_CRITICO";
+    "~*.......1" "ATAQUE_CRITICO";
+    "~*[1-9]{3,}" "ATAQUE_COORDENADO"; # Combos triplos são coordenados
+    "~*[1-9]{2}"  "RISCO_ALTO";         # Combos duplos são risco alto
     default       "SUSPEITO";
 }
 
-map $is_bad_bot$is_suspicious_uri$is_suspicious_method$is_malicious_payload$is_high_risk_country$is_protocol_violation$is_spam_referer $risk_reason {
-    "0000000" "Trafego limpo";
+map $is_bad_bot$is_suspicious_uri$is_suspicious_method$is_malicious_payload$is_high_risk_country$is_protocol_violation$is_spam_referer$is_suspicious_header $risk_reason {
+    "00000000" "Trafego limpo";
     
     # Prioridades de Ataque (Combos Triplos+)
-    "~*...1..." "ATAQUE_DIRETO: Payload Malicioso Detectado";
-    "~*......1" "ATAQUE_DIRETO: Origem de Referer Fraudulento";
+    "~*...1...." "ATAQUE_DIRETO: Payload Malicioso Detectado";
+    "~*......1." "ATAQUE_DIRETO: Origem de Referer Fraudulento";
+    "~*.......1" "ATAQUE_DIRETO: Cabecalho Suspeito (React2Shell/etc)";
     "~*[1-9]{3,}" "ATAQUE_COORDENADO: Multiplos vetores de risco detectados";
     
     # Combinações Duplas (Risco Alto)
-    "~*11....." "COMBINACAO: Bot conhecido em local sensivel";
-    "~*1...1.." "COMBINACAO: Bot em regiao de alto risco";
-    "~*.1..1.." "COMBINACAO: Acesso sensivel vindo de regiao de risco";
-    "~*....11." "COMBINACAO: Geo-risco com quebra de protocolo";
+    "~*11......" "COMBINACAO: Bot conhecido em local sensivel";
+    "~*1...1..." "COMBINACAO: Bot em regiao de alto risco";
+    "~*.1..1..." "COMBINACAO: Acesso sensivel vindo de regiao de risco";
+    "~*....11.." "COMBINACAO: Geo-risco com quebra de protocolo";
     "~*[1-9]{2}"  "COMBINACAO: Dois sinais de alerta detectados";
 
     # Sinais Unitários (Suspeito)
-    "~*1......" "SUSPEITO: Bot conhecido (Scraper/Crawler)";
-    "~*.1....." "SUSPEITO: Acesso a URI restrita ou sensivel";
-    "~*..1...." "SUSPEITO: Metodo HTTP incomum";
-    "~*....1.." "SUSPEITO: Origem geografica de alto risco";
-    "~*.....1." "SUSPEITO: Violacao de protocolo (UA invalido)";
+    "~*1......." "SUSPEITO: Bot conhecido (Scraper/Crawler)";
+    "~*.1......" "SUSPEITO: Acesso a URI restrita ou sensivel";
+    "~*..1....." "SUSPEITO: Metodo HTTP incomum";
+    "~*....1..." "SUSPEITO: Origem geografica de alto risco";
+    "~*.....1.." "SUSPEITO: Violacao de protocolo (UA invalido)";
 
     default "Atividade anomala detectada";
 }