**cPanel** および WebHost Manager (WHM) のユーザーは、**CVE-2026-41940** の積極的な悪用が報告されたため、必要なパッチを適用することが強く推奨されます。この重大な脆弱性により、攻撃者は認証をバイパスし、管理者権限を取得できます。 ### 実際の攻撃事例 **QiAnXin XLab** の報告によると、この脆弱性は公開以来、積極的に悪用されています。観測された悪意のある活動には、仮想通貨マイニング、ransomware の展開、botnet の拡散、バックドアの埋め込みなどが含まれます。 「監視データによると、現在、世界中の2,000を超える攻撃者IPアドレスが、この脆弱性を標的とした自動化された攻撃およびサイバー犯罪活動に関与しています」と XLab の研究者は述べています。これらのIPアドレスは地理的に分散しており、ドイツ、米国、ブラジル、オランダにかなりの集中が見られます。 ### 攻撃チェーンの技術的分析 さらなる分析により、`wget` または `curl` を利用してリモートサーバー（`cp.dene.[de[.]com]`）から Go ベースの感染ツールをダウンロードするシェルスクリプトが明らかになりました。この感染ツールは、永続的なアクセスを確保するために SSH 公開鍵をインストールし、ファイル管理とリモートコマンド実行のための PHP Web shell を展開することで **cPanel** システムを侵害するように設計されています。 Web shell は JavaScript コードを注入してカスタマイズされたログインページを提供し、認証情報を盗むように設計されています。盗まれた認証情報は、**ROT13** 暗号を使用してエンコードされ、攻撃者が制御するシステム（`wrned[.]com`）に送信されます。最終段階では、Windows、macOS、Linux システムを感染させる能力を持つクロスプラットフォームのバックドアが展開されます。 ### Filemanager バックドアの詳細 感染ツールは、bash履歴、SSHデータ、デバイス情報、データベースパスワード、および **cPanel** の仮想エイリアス（valiases）を含む機密情報も収集し、「0xWR」という名前のユーザーが管理する **Telegram** グループに送信します。 `wpsock[.]com` からのシェルスクリプトを通じて配信される **Filemanager** は、ファイル管理、リモートコマンド実行、およびシェル機能を提供します。 ### Mr_Rot13 の経歴 証拠によると、Mr_Rot13 は数年前から活動しています。JavaScript コードで使用されたコマンド＆コントロール（C2）ドメインは、2022年4月に **VirusTotal** にアップロードされた PHP ベースのバックドア（`helper.php`）と以前に関連付けられていました。このドメインは当初2020年10月に登録されました。 「2020年から現在までの6年間、Mr_Rot13 に関連するサンプルとインフラストラクチャの検出率は、セキュリティ製品全体で非常に低いままです」と XLab は指摘し、攻撃者のステルス性を強調しています。