Se observó a un atacante previamente desconocido explotando una vulnerabilidad de cPanel revelada recientemente para apuntar a pequeños grupos de proveedores de servicios administrados (MSP) y proveedores de alojamiento en Filipinas, Laos, Canadá, Sudáfrica y Estados Unidos, así como a organizaciones gubernamentales y militares en el Sudeste Asiático.
Esta actividad, detectada por Ctrl-Alt-Intel el 2 de mayo de 2026, implica la explotación de CVE-2026-41940, una vulnerabilidad crítica en cPanel y WebHost Manager (WHM) que podría provocar una omisión de autenticación y permitir que un atacante remoto obtenga control avanzado del panel de control.
El ataque se origina en la dirección IP 95.111.250(.)175 y utiliza una prueba de concepto (PoC) disponible públicamente para identificar dominios gubernamentales y militares, así como MSP y proveedores de alojamiento, principalmente relacionados con Filipinas (*.mil.ph y (*.ph)) y Laos (*.gov.la).
Además, Ctrl-Alt-Intel reveló que antes del ataque a cPanel, los atacantes utilizaron otra cadena de exploits personalizada contra un portal de capacitación del sector de defensa de Indonesia utilizando una combinación de inyección SQL autenticada y ejecución remota de código. En este caso, se dice que el atacante ya tiene credenciales válidas para el portal en cuestión.
Ctrl-Alt-Intel decía: «El script utiliza credenciales codificadas y desactiva el CAPTCHA del portal leyendo el valor CAPTCHA esperado de la cookie de sesión emitida por el servidor, en lugar de resolver el desafío como de costumbre».
«Una vez autenticado y pasado el CAPTCHA, el atacante pasa a la funcionalidad de gestión de documentos. El parámetro vulnerable es el campo utilizado para almacenar el nombre del documento, y el script inyecta SQL en ese campo cuando se publica en el punto final de almacenamiento de documentos».
Un análisis más detallado reveló que los atacantes estaban utilizando el marco de comando y control (C2) AdapdixC2 para apoderarse de forma remota de los puntos finales comprometidos. También se utilizan herramientas como OpenVPN y Ligolo para facilitar el acceso persistente a la red interna de la víctima.
«Los atacantes utilizaron OpenVPN, Ligolo y systemd Persistence para construir una capa de acceso duradera y utilizaron ese acceso para infiltrarse en redes internas y exfiltrar un corpus sustancial de documentos del sector ferroviario de China», añadió Ctrl-Alt-Intel.
Si bien actualmente no está claro quién está detrás de esta campaña, el desarrollo se produce después de que Censys anunciara que había encontrado evidencia que sugería que la vulnerabilidad de cPanel estaba siendo utilizada como arma por varios terceros dentro de las 24 horas posteriores a su divulgación, incluida una variante de la botnet Mirai y la introducción de una cepa de ransomware llamada Sorry.
Se dice que al menos 44.000 direcciones IP potencialmente comprometidas por CVE-2026-41940 realizaron escaneos y ataques de fuerza bruta contra honeypots el 30 de abril de 2026, según datos de la Fundación Shadowserver. Al 3 de mayo, ese número se había reducido a 3.540.
Source link
