Un actor de amenazas llamado Mr_Rot13 ha sido atribuido a la explotación de una falla crítica de cPanel recientemente revelada para implementar una puerta trasera con nombre en código. Administrador de archivos en entornos comprometidos.
El ataque explota CVE-2026-41940, una vulnerabilidad que afecta a cPanel y WebHost Manager (WHM) y que podría provocar una omisión de autenticación y permitir a atacantes remotos obtener un control elevado del panel de control.
Según un nuevo informe de QiAnXin XLab, el defecto de seguridad ha sido explotado por varios actores de amenazas poco después de su divulgación pública a fines del mes pasado, lo que resultó en comportamientos maliciosos como minería de criptomonedas, ransomware, propagación de botnets e implantación de puertas traseras.
«Los datos de seguimiento muestran que más de 2.000 IP de origen de atacantes en todo el mundo están actualmente involucradas en ataques automatizados y actividades de ciberdelincuencia dirigidas a esta vulnerabilidad», dijeron los investigadores de XLab. «Estas IP se distribuyen en múltiples regiones a nivel mundial, principalmente desde Alemania, Estados Unidos, Brasil, Países Bajos y otras regiones».
Un análisis más profundo de la actividad de explotación en curso ha descubierto un script de shell que utiliza wget o curl para descargar un infectador basado en Go desde un servidor remoto («cp.dene.(de(.)com») que está diseñado para implantar un sistema cPanel comprometido con una clave pública SSH para acceso persistente, además de colocar un shell web PHP que facilita la carga/descarga de archivos y la ejecución remota de comandos.
Luego, el shell web se usa para inyectar código JavaScript para ofrecer una página de inicio de sesión personalizada para robar las credenciales de inicio de sesión y desviarlas a un sistema controlado por un atacante que está codificado usando el cifrado ROT13 («wrned(.)com»). Una vez que se transmiten los detalles, la cadena de ataque culmina con el despliegue de una puerta trasera multiplataforma capaz de infectar sistemas Windows, macOS y Linux.
El infectador también está equipado para recopilar información confidencial del host comprometido, incluido el historial de bash, datos SSH, información del dispositivo, contraseñas de bases de datos y alias virtuales de cPanel (también conocidos como valiases), en un grupo de Telegram de 3 miembros creado por un usuario llamado «0xWR».
En la secuencia de infección analizada por XLab, Filemanager se entrega mediante un script de shell descargado del dominio «wpsock(.)com». La puerta trasera admite administración de archivos, ejecución remota de comandos y funcionalidad de shell.
Hay indicios de que el actor amenazador detrás de la operación ha estado operando silenciosamente en las sombras durante años. Esta evaluación se basa en el hecho de que el dominio de comando y control (C2) incrustado en el código JavaScript se utilizó en una puerta trasera basada en PHP («helper.php») que se cargó en la plataforma VirusTotal en abril de 2022. El dominio se registró por primera vez en octubre de 2020.
«Durante los seis años transcurridos desde 2020 hasta el presente, la tasa de detección de las muestras e infraestructura relacionadas de Mr_Rot13 en todos los productos de seguridad se ha mantenido extremadamente baja», dijo XLab.