Actores de amenazas están explotando una falla de seguridad crítica recientemente revelada en **Ghost CMS** para inyectar código JavaScript malicioso con el objetivo de impulsar ataques ClickFix. ### CVE-2026-26980: Una Vulnerabilidad Crítica de Inyección SQL Según **QiAnXin XLab**, la actividad implica la explotación de **CVE-2026-26980** (puntuación CVSS: 9.4), una vulnerabilidad de inyección SQL en la API de Contenido de Ghost que podría permitir a un atacante no autenticado leer datos arbitrarios de la base de datos. La vulnerabilidad fue abordada en febrero de 2026 en la versión 6.19.1. La vulnerabilidad fue descubierta por **Anthropic** utilizando **Claude**. Lo que hace severa la vulnerabilidad es que permite a un atacante obtener acceso a la clave de API de administrador de un sitio sin permiso, otorgándoles la capacidad de envenenar el sitio inyectando código malicioso. La clave de API de administrador se puede usar para invocar la API de administrador y puede modificar directamente los artículos publicados en el sistema de gestión de contenido. ### Campaña Masiva de Envenenamiento El actor de amenazas aprovechó la falla de seguridad para "obtener la clave de API de administrador del sitio objetivo sin autorización, y luego utilizó la API de administrador de Ghost para manipular artículos en masa, inyectando cargadores JavaScript maliciosos en la parte inferior de las páginas para facilitar ataques de CAPTCHA falsos", dijo XLab. La actividad ha sido descrita por el proveedor de seguridad chino como una campaña de "envenenamiento a gran escala" que arma la falla de Ghost CMS. Se evalúa que al menos dos clústeres de amenazas diferentes están detrás de la campaña, en algunos casos implantando ciertos sitios con código malicioso en un solo día. Fue detectada por primera vez el 7 de mayo de 2026. En total, la campaña ha comprometido más de 700 sitios web, abarcando los sectores de universidades, blockchain, inteligencia artificial, software como servicio (SaaS), investigación de seguridad, medios y tecnología financiera. El hecho de que sitios web legítimos hayan sido violados podría aumentar aún más la tasa de éxito de los ataques ClickFix, dijo XLab. ### Análisis de la Cadena de Ataque El código JavaScript inyectado en la parte inferior de un artículo funciona como un cargador de dos etapas responsable de recuperar el payload principal en tiempo de ejecución desde un dominio externo ("clo4shara[.]xyz/11z77u3.php"). Esta arquitectura ofrece flexibilidad adicional, ya que permite al actor de amenazas intercambiar los payloads según diferentes criterios, manteniendo intacta la funcionalidad del cargador en varios sitios comprometidos.  "Acceder directamente a clo4shara[.]xyz/11z77u3.php revela un fragmento de código, que en realidad es un script típico de distribución de tráfico", explicó XLab. "Su función principal es recopilar diversa información de huellas digitales del navegador del usuario y subirla al servidor, luego realizar acciones como redirección, ventanas emergentes y descargas basadas en las instrucciones devueltas". El script PHP está impulsado por **Adspect**, un servicio comercial de cloaking. La idea detrás del uso del script de cloaking es garantizar que solo las víctimas reales reciban el payload real, mientras que los escáneres de seguridad y los rastreadores solo verán una página web benigna. El script también admite 19 comandos diferentes para ejecutar código JavaScript arbitrario y facilitar el control remoto del navegador de la víctima. Los visitantes del sitio considerados como los objetivos previstos finalmente reciben una página de verificación de CAPTCHA falsa dentro de un elemento HTML iframe para demostrar que son humanos. Esto, a su vez, activa un ataque ClickFix, como parte del cual se les instruye a copiar y pegar un comando codificado en Base64 en el cuadro de diálogo Ejecutar de Windows. El comando sirve como un "dropper" para entregar un archivo ZIP y extrae de él un script por lotes de Windows y lo ejecuta. El script, por su parte, ejecuta un comando de **PowerShell** para descargar un archivo DLL de un dominio remoto, lanzarlo usando "rundll32.exe" y abrir una página web falsa al usuario como distracción. Se han encontrado iteraciones posteriores del malware reemplazando la DLL con un payload JavaScript. Independientemente del tipo de payload, el objetivo final del ataque es dejar un ejecutable de **Windows**. En el caso de la DLL, el ejecutable es un cliente **PuTTY** con un certificado de firma de código válido. El binario distribuido a través de JavaScript es un instalador de Inno Setup para una aplicación **Electron**. La aplicación es una versión modificada del cliente de escritorio Grape de código abierto diseñada para lograr persistencia y consultar un servidor remoto ("web-telegram[.]ug") cada 30 segundos para procesar instrucciones emitidas por el atacante, incluyendo la ejecución de código JavaScript o archivos ejecutables. ### Pasos de Mitigación Se recomienda a los usuarios de Ghost CMS que actualicen sus instancias a la última versión, roten todas las credenciales, limpien los sitios, auditen los registros de acceso en busca de signos de actividad sospechosa y notifiquen a los usuarios que puedan haber visitado los sitios durante el período de contaminación para un posible compromiso.