Les utilisateurs de **cPanel** et WebHost Manager (WHM) sont invités à appliquer les correctifs nécessaires suite aux rapports d'exploitation active de **CVE-2026-41940**. Cette vulnérabilité critique permet aux attaquants de contourner l'authentification et d'obtenir des privilèges administratifs. ### Exploitation dans la nature Selon un rapport de **QiAnXin XLab**, la vulnérabilité est activement exploitée depuis sa divulgation publique. Les activités malveillantes observées incluent le minage de cryptomonnaies, le déploiement de ransomware, la propagation de botnet et l'implantation de backdoor. « Les données de surveillance montrent que plus de 2 000 adresses IP sources d'attaquants dans le monde sont actuellement impliquées dans des attaques automatisées et des activités de cybercriminalité ciblant cette vulnérabilité », ont déclaré les chercheurs de XLab. Ces adresses IP sont réparties géographiquement, avec une concentration significative en Allemagne, aux États-Unis, au Brésil et aux Pays-Bas. ### Analyse technique de la chaîne d'attaque Une analyse plus approfondie révèle un script shell utilisant `wget` ou `curl` pour télécharger un infecteur basé sur Go depuis un serveur distant (`cp.dene.[de[.]com]`). Cet infecteur est conçu pour compromettre les systèmes **cPanel** en installant une clé publique SSH pour un accès persistant et en déployant un web shell PHP pour la gestion des fichiers et l'exécution de commandes à distance. Le web shell injecte du code JavaScript pour servir une page de connexion personnalisée, conçue pour voler les identifiants. Les identifiants volés sont ensuite exfiltrés vers un système contrôlé par l'attaquant (`wrned[.]com`), encodés à l'aide du chiffrement **ROT13**. L'étape finale implique le déploiement d'une backdoor multiplateforme capable d'infecter les systèmes Windows, macOS et Linux. ### Détails de la backdoor Filemanager L'infecteur collecte également des informations sensibles, notamment l'historique bash, les données SSH, les informations sur l'appareil, les mots de passe de base de données et les alias virtuels **cPanel** (valiases), et les envoie à un groupe **Telegram** géré par un utilisateur nommé "0xWR". **Filemanager**, livré via un script shell depuis `wpsock[.]com`, fournit des fonctionnalités de gestion de fichiers, d'exécution de commandes à distance et de shell. ### Historique de Mr_Rot13 Les preuves suggèrent que Mr_Rot13 est actif depuis plusieurs années. Le domaine de commande et de contrôle (C2) utilisé dans le code JavaScript était précédemment associé à une backdoor basée sur PHP (`helper.php`) téléchargée sur **VirusTotal** en avril 2022. Le domaine a été initialement enregistré en octobre 2020. « Au cours des six années, de 2020 à aujourd'hui, le taux de détection des échantillons et de l'infrastructure liés à Mr_Rot13 à travers les produits de sécurité est resté extrêmement bas », a noté XLab, soulignant la discrétion de l'acteur de menace.