Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

IH-MIE pide innovación en hidrógeno

Una falla XRING sin parche en XQUIC hace que el cliente remoto bloquee el servidor HTTP/3

Cómo Lumen Technologies reinventó el control de exposición a escala

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»El servidor de hackers expuesto revela que WP-SHELLSTORM tiene puertas traseras en miles de sitios de WordPress
Identidad

El servidor de hackers expuesto revela que WP-SHELLSTORM tiene puertas traseras en miles de sitios de WordPress

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 10, 2026No hay comentarios9 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

El equipo de cibercrimen dejó uno de sus servidores expuesto en Internet durante tres semanas, exponiendo el funcionamiento interno de la operación, incluidas herramientas de piratería, registros de actividad y una lista de objetivos que nombra más de 1,4 millones de sitios web.

Aunque muchos menos fueron realmente comprometidos, los archivos expuestos mostraron a los investigadores cómo se pueden llevar a cabo operaciones de piratería de sitios a gran escala desde dentro.

Esta operación, actualmente rastreada como WP-SHELLSTORM, es lo que SOCRadar llama Web Shell Access Intermediation. Esto significa que los trabajadores se infiltran en sitios grandes, instalan puertas traseras ocultas (o «shells web») en cada uno y crean paquetes a los que se accede para su reventa.

La actividad más agresiva afectó a los sitios de WordPress que ejecutan complementos obsoletos. Si está ejecutando WordPress o Joomla, los dos fallos más importantes estaban en el complemento de caché Breeze y en el editor JCE de Joomla. Si es así, continúe con la lista de verificación a continuación.

servidor olvidado

Dos equipos excavaron en la misma carpeta pública. El equipo de Threat Intelligence de SOCRadar descubrió el virus el 11 de junio de 2026 en un servidor de alquiler con sede en EE. UU. 137.175.93(.)126 sin contraseñas. Dentro había 434 archivos, aproximadamente 800 MB, incluidos shells web, scripts de explotación, resultados de escaneo, un historial de comandos ingresados ​​por el operador y configuraciones de comando y control.

Ctrl-Alt-Intel también estaba analizando el mismo directorio y lo descubrió en la plataforma de directorio abierto de Hunt.io, publicándolo el 22 de junio, unas semanas antes del artículo de SOCRadar del 9 de julio. La exposición resultó ser un error básico. El operador inició un servidor web Python simple para mover los archivos y lo mantuvo funcionando durante 22 días.

El equipo construyó un escáner automatizado que captura errores públicamente conocidos en complementos de sitios web, la mayoría de ellos de WordPress, y ejecuta esos exploits contra una gran lista de objetivos obtenidos de FOFA, un motor de búsqueda chino para sistemas conectados a Internet similar a Shodan.

Si el sitio ejecuta una versión vulnerable, el exploit podría cargar un shell web. Los web shells son pequeños scripts que permiten a los atacantes ejecutar comandos en su servidor, leer archivos, robar contraseñas y acceder a su red desde cualquier lugar.

El conjunto de herramientas cubría 27 defectos conocidos, pero sólo unos pocos resolvieron la mayor parte del trabajo. El mayor culpable fue un error en el complemento de caché Breeze (CVE-2026-3844), mediante el cual los equipos dispararon contra más de 45.000 objetivos, bloqueando más de 17.000 de ellos según un recuento independiente.

Esto tiene sus trampas. La mayoría de las instalaciones de Breeze nunca se publicaron porque solo funciona si la configuración no predeterminada «Hospedar archivos localmente – Gravatars» está activada.

Para poner los números en términos simples.

Tenga cuidado con los números en los títulos. La cifra de 1,4 millones no es la cantidad de dominios que fueron comprometidos, sino más bien la cantidad de dominios que se incluyeron en la lista de objetivos, que abarcaba WordPress, Joomla y otras plataformas. El archivo más grande era una lista de 587.034 destinos Joomla.

El número real de infracciones fue mucho menor y los dos equipos de investigación lo midieron utilizando métodos diferentes. El recuento de deduplicación Ctrl-Alt-Intel encontró 25.195 sitios con evidencia confirmada o verificada de compromiso. Mientras tanto, el recuento real de SOCRadar de web shells activos superó los 5.700.

Un defecto resalta la brecha. El error de Joomla se disparó contra más de 560.000 objetivos, pero sólo aterrizó en 77 de ellos.

Estar en la lista de escaneo de alguien no es lo mismo que ser pirateado. Tenga esto en cuenta cada vez que vea cifras objetivo aterradoras en un informe.

Herramientas y campañas anteriores

La puerta trasera principal, un archivo llamado down.php, está muy ofuscado, tiene cuatro capas de profundidad y parece derivar de un shell web chino de código abierto llamado BestShell. Una vez ejecutado, puede administrar archivos, ejecutar comandos, abrir un shell inverso, escanear su red, ver qué software de seguridad está ejecutando su host y más.

Para su propio acceso remoto, el equipo utilizó el cuentagotas SNOWLIGHT para instalar VShell, una puerta trasera sigilosa que disfraza el nombre del proceso como (kworker/0:2) para mezclarse con el subproceso del núcleo en la lista de procesos.

Estas dos herramientas tienen una historia. En abril de 2025, Sysdig vinculó esta cadena SNOWLIGHT a VShell con el presunto grupo estatal chino UNC5174, cuyas actividades estaban cubiertas por THN en ese momento. Sin embargo, VShell en sí es una herramienta común en el mundo criminal de habla china, por lo que su presencia por sí sola no indica un actor estatal.

En el servidor también había rastros de trabajos anteriores completamente diferentes. SOCRadar descubrió que antes del ruidoso alboroto de WordPress, el mismo equipo estaba llevando a cabo una campaña silenciosa contra los sistemas Java empresariales a principios de mayo de 2026. Extrajimos 613 archivos de configuración de 11 sistemas de 9 empresas de tecnología financiera, comercio electrónico, logística, juegos y electrónica.

El botín incluyó claves de inicio de sesión en la nube, contraseñas de bases de datos y claves privadas Alipay RSA para AWS, Alibaba Cloud, Oracle, Tencent y DigitalOcean. Aprovecha un error antiguo y conocido (CVE-2021-29441) en el servidor de configuración, Nacos, que permite a un atacante omitir el inicio de sesión falsificando un único encabezado web.

SOCRadar lee el tiempo como una secuencia. Obtenga primero credenciales de empresa de alto valor y luego, después de unas semanas, pase a un trabajo de puerta trasera más grande: una ronda de financiación previa a la escala.

manualidades descuidadas

Ambos equipos tienen una confianza de moderada a alta en que el operador sea chino o hable chino. Señalan el uso de chino simplificado fluido a lo largo del código y el historial de comandos, la dependencia de FOFA (requiere un número de teléfono chino para registrarse, señalan los investigadores) y las herramientas Godzilla y VShell preferidas en los foros de habla china.

SOCRadar va un paso más allá e interpreta que la tripulación está motivada económicamente y no impulsada por el Estado. Los nombres que aparecen en el expediente (tance, chen-kk, chenyk) se tratan como pistas no confirmadas, no como pruebas. Destaca un problema. Una dirección IP en Taiwán envió más de 42.000 solicitudes para descargar las herramientas patentadas del equipo. Podría ser un segundo operador, un cliente u otro investigador. Los registros no pueden resolver este problema.

Para un grupo que maneja una cadena de herramientas verdaderamente competente, el personal no estuvo atento. Dejó el servidor abierto, un archivo de configuración de FOFA que FOFA podía rastrear a través de las fuerzas del orden y un historial de comandos sin editar que revelaba todo. En algún momento entre el 2 y el 4 de julio, finalmente me di cuenta de lo que había descubierto y eliminé un lote de líneas de registro. 3 semanas demasiado tarde.

Este fallo es común. En marzo de 2026, la misma agencia de investigación utilizó el mismo método para capturar al oso ruso de lujo (APT28). En una campaña que Hunt.io llama «Operación Roundish», las herramientas y registros de phishing del grupo se filtraron desde un directorio abierto olvidado.

que hacer ahora

Si está ejecutando alguno de los programas elegibles, compruébelo ahora. Estos no son errores oscuros. Dos de ellos están siendo explotados activamente en otros lugares.

Wordfence rastreó decenas de miles de ataques bloqueados contra la falla Everest Forms Pro (CVE-2026-3300) esta primavera. Además, el error Joomla JCE (CVE-2026-48907) es la falla de mayor gravedad agregada a la lista de vulnerabilidades explotadas conocidas por CISA.

WordPress y Joomla, primero: Patch Breeze si la configuración no predeterminada «Alojar archivos localmente – Gravatars» está activada (CVE-2026-3844, corregido en 2.4.5). Aquí es donde se generaron la mayoría de las puertas traseras. Trate también la falla JCE de Joomla (CVE-2026-48907, corregida en 2.9.99.5) como una emergencia. Esto se debe a que tiene la mayor gravedad y está en la lista de explotación activa de CISA, aunque apenas se vio afectado por esta campaña. Consulte también WordPress y Joomla: complemento ThemeREX (CVE-2026-1969), lista de archivos simple (CVE-2020-36847), CSS JS PHP personalizado (CVE-2026-6433), BerqWP (CVE-2025-7443), carga de Ninja Forms (CVE-2026-0740), WavePlayer (CVE-2025-12057), WPBookit (CVE-2025-7852) y Administrador de archivos WP (CVE-2020-25213). Ambos informes enumeran la Lista de archivos simples bajo CVE-2025-34085 (duplicado que actualmente está rechazado). La identificación válida es CVE-2020-36847. Nacos: actualice a 2.2.1 o posterior y active la autenticación (nacos.core.auth.enabled=true). Si su instancia está expuesta, rote todas las credenciales presentes en ella, no solo las obvias. Trabajos XXL y Spring Boot: cierre los puntos finales de ejecutor no autenticados y deshabilite /actuator/heapdump en producción. Busque puertas traseras: busque patrones de nombres de archivos del shell web de la tripulación, como .bd.php, .wp-log.php, .brq-*.php. A continuación, busque un proceso llamado (kworker/X:Y). El hilo del kernel real no ejecuta su propio programa, por lo que su /proc//exe no apunta a nada. Tampoco hay línea de comando ni sockets de red. Cualquiera que muestre alguno de estos (kworker) es un farsante. Infraestructura conocida: Bloques 137.175.93(.)126, 43.108.17(.)80 y el dominio xs.xxooonline(.)eu(.)cc.

WP-SHELLSTORM destaca no por su innovación, sino por su carácter ordinario. Los exploits públicos, los análisis automatizados y las listas de objetivos de un millón de filas son suficientes para comprometer un sitio a escala, sin necesidad de un día cero. Los detalles se hacen públicos porque el equipo olvidó cerrar sus propios servidores.

Hacker News se ha puesto en contacto con SOCRadar para obtener más información sobre los hallazgos y actualizará este artículo si recibimos una respuesta.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleTraining next-generation innovators at the Maastricht Science Programme
Next Article Cómo Lumen Technologies reinventó el control de exposición a escala
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Una falla XRING sin parche en XQUIC hace que el cliente remoto bloquee el servidor HTTP/3

julio 10, 2026

Cómo Lumen Technologies reinventó el control de exposición a escala

julio 10, 2026

Un atacante aprovecha la vulnerabilidad ‘Ill Bloom’ para robar 3,1 millones de dólares de una billetera de criptomonedas

julio 10, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

IH-MIE pide innovación en hidrógeno

Una falla XRING sin parche en XQUIC hace que el cliente remoto bloquee el servidor HTTP/3

Cómo Lumen Technologies reinventó el control de exposición a escala

El servidor de hackers expuesto revela que WP-SHELLSTORM tiene puertas traseras en miles de sitios de WordPress

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.