Se insta a los usuarios de **cPanel** y WebHost Manager (WHM) a aplicar los parches necesarios tras los informes de explotación activa de **CVE-2026-41940**. Esta vulnerabilidad crítica permite a los atacantes omitir la autenticación y obtener privilegios administrativos. ### Explotación en la Naturaleza Según un informe de **QiAnXin XLab**, la vulnerabilidad ha sido explotada activamente desde su divulgación pública. Las actividades maliciosas observadas incluyen minería de criptomonedas, despliegue de ransomware, propagación de botnets e implantación de backdoors. "Los datos de monitoreo muestran que más de 2.000 IPs de origen de atacantes en todo el mundo están actualmente involucradas en ataques automatizados y actividades de ciberdelincuencia dirigidas a esta vulnerabilidad", declararon los investigadores de XLab. Estas IPs están distribuidas geográficamente, con una concentración significativa en Alemania, Estados Unidos, Brasil y los Países Bajos. ### Análisis Técnico de la Cadena de Ataque Un análisis más detallado revela un script de shell que utiliza `wget` o `curl` para descargar un infector basado en Go desde un servidor remoto (`cp.dene.[de[.]com]`). Este infector está diseñado para comprometer sistemas **cPanel** instalando una clave pública SSH para acceso persistente y desplegando un web shell PHP para la gestión de archivos y la ejecución remota de comandos. El web shell inyecta código JavaScript para servir una página de inicio de sesión personalizada, diseñada para robar credenciales. Las credenciales robadas se exfiltran luego a un sistema controlado por el atacante (`wrned[.]com`), codificadas utilizando el cifrado **ROT13**. La etapa final implica el despliegue de una backdoor multiplataforma capaz de infectar sistemas Windows, macOS y Linux. ### Detalles de la Backdoor Filemanager El infector también recopila información sensible, incluyendo el historial de bash, datos SSH, información del dispositivo, contraseñas de bases de datos y alias virtuales de **cPanel** (valiases), y la envía a un grupo de **Telegram** administrado por un usuario llamado "0xWR". **Filemanager**, entregado a través de un script de shell desde `wpsock[.]com`, proporciona funcionalidades de gestión de archivos, ejecución remota de comandos y shell. ### Historial de Mr_Rot13 La evidencia sugiere que Mr_Rot13 ha estado activo durante varios años. El dominio de comando y control (C2) utilizado en el código JavaScript se asoció previamente con una backdoor basada en PHP (`helper.php`) subida a **VirusTotal** en abril de 2022. El dominio se registró inicialmente en octubre de 2020. "Durante los seis años, de 2020 a la actualidad, la tasa de detección de las muestras e infraestructura relacionadas de Mr_Rot13 en los productos de seguridad se ha mantenido extremadamente baja", señaló XLab, destacando el sigilo del actor de amenazas.