Se cree que un actor de amenazas llamado Mr_Rot13 aprovechó una falla crítica revelada recientemente en cPanel para implementar una puerta trasera con nombre en código Filemanager en entornos comprometidos.
Este ataque aprovecha la vulnerabilidad CVE-2026-41940, que afecta a cPanel y WebHost Manager (WHM), lo que genera una omisión de autenticación que podría permitir a un atacante remoto obtener control avanzado del panel de control.
Según un nuevo informe de QiAnXin XLab, muchos atacantes han aprovechado esta falla de seguridad desde su divulgación a fines del mes pasado, lo que ha resultado en comportamientos maliciosos como minería de criptomonedas, ransomware, propagación de botnets e implantación de puertas traseras.
«Los datos de vigilancia muestran que más de 2.000 IP de origen en todo el mundo están actualmente involucradas en ataques automatizados y actividades cibercriminales dirigidas a esta vulnerabilidad», dijeron los investigadores de XLab. «Estas IP se distribuyen en múltiples regiones del mundo, principalmente provenientes de regiones como Alemania, Estados Unidos, Brasil y Países Bajos».
Un análisis más detallado de la actividad de explotación en curso reveló un script de shell que utiliza wget o curl para descargar una infección basada en Go desde un servidor remoto (‘cp.dene.(de(.)com’). El script está diseñado para incrustar una clave pública SSH en un sistema cPanel comprometido para un acceso persistente, así como para colocar un shell web PHP para facilitar la carga/descarga de archivos y la ejecución remota de comandos.
Luego utiliza un shell web para inyectar código JavaScript para ofrecer una página de inicio de sesión personalizada y robar las credenciales de inicio de sesión, que luego se desvían a un sistema controlado por un atacante codificado con cifrados ROT13 (‘wrned(.)com’). Una vez que se envían los detalles, la cadena de ataque culmina con la implementación de una puerta trasera multiplataforma que puede infectar sistemas Windows, macOS y Linux.
El infectador también tiene la capacidad de recopilar información confidencial de hosts comprometidos, incluido el historial de bash, datos SSH, información del dispositivo, contraseñas de bases de datos y alias virtuales de cPanel (también conocidos como varios) para un grupo de Telegram de tres miembros creado por un usuario llamado «0xWR».
En la secuencia de infección analizada por XLab, el administrador de archivos se entrega a través de un script de shell descargado del dominio ‘wpsock(.)com’. La puerta trasera admite administración de archivos, ejecución remota de comandos y funcionalidad de shell.
Hay indicios de que los actores de amenazas detrás de esta operación han estado operando silenciosamente en las sombras durante años. Esta evaluación se basa en el hecho de que un dominio de comando y control (C2) incrustado en el código JavaScript se utiliza en una puerta trasera basada en PHP (“helper.php”) cargada en la plataforma VirusTotal en abril de 2022. Este dominio se registró por primera vez en octubre de 2020.
«Durante seis años, desde 2020 hasta la fecha, la tasa de detección de muestras e infraestructura relacionadas con Mr_Rot13 en todos los productos de seguridad sigue siendo extremadamente baja», dijo XLab.
Source link
