Usuários do **cPanel** e WebHost Manager (WHM) são instados a aplicar os patches necessários após relatos de exploração ativa da **CVE-2026-41940**. Esta vulnerabilidade crítica permite que atacantes ignorem a autenticação e obtenham privilégios administrativos. ### Exploração em Campo De acordo com um relatório da **QiAnXin XLab**, a vulnerabilidade tem sido ativamente explorada desde sua divulgação pública. Atividades maliciosas observadas incluem mineração de criptomoedas, implantação de ransomware, propagação de botnet e implantação de backdoor. "Dados de monitoramento mostram que mais de 2.000 IPs de origem de atacantes em todo o mundo estão atualmente envolvidos em ataques automatizados e atividades de cibercrime visando esta vulnerabilidade", afirmaram pesquisadores da XLab. Esses IPs são geograficamente distribuídos, com uma concentração significativa na Alemanha, Estados Unidos, Brasil e Holanda. ### Análise Técnica da Cadeia de Ataque Análises adicionais revelam um script shell utilizando `wget` ou `curl` para baixar um infector baseado em Go de um servidor remoto (`cp.dene.[de[.]com]`). Este infector é projetado para comprometer sistemas **cPanel** instalando uma chave pública SSH para acesso persistente e implantando um web shell PHP para gerenciamento de arquivos e execução remota de comandos. O web shell injeta código JavaScript para servir uma página de login customizada, projetada para roubar credenciais. As credenciais roubadas são então exfiltradas para um sistema controlado pelo atacante (`wrned[.]com`), codificadas usando o cifrador **ROT13**. O estágio final envolve a implantação de um backdoor multiplataforma capaz de infectar sistemas Windows, macOS e Linux. ### Detalhes do Backdoor Filemanager O infector também coleta informações sensíveis, incluindo histórico do bash, dados SSH, informações do dispositivo, senhas de banco de dados e aliases virtuais do **cPanel** (valiases), e as envia para um grupo do **Telegram** gerenciado por um usuário chamado "0xWR". O **Filemanager**, entregue através de um script shell de `wpsock[.]com`, fornece funcionalidades de gerenciamento de arquivos, execução remota de comandos e shell. ### Histórico do Mr_Rot13 Evidências sugerem que o Mr_Rot13 tem estado ativo por vários anos. O domínio de comando e controle (C2) usado no código JavaScript foi anteriormente associado a um backdoor baseado em PHP (`helper.php`) carregado no **VirusTotal** em abril de 2022. O domínio foi inicialmente registrado em outubro de 2020. "Ao longo dos seis anos, de 2020 até o presente, a taxa de detecção de amostras e infraestrutura relacionadas ao Mr_Rot13 em produtos de segurança permaneceu extremamente baixa", observou a XLab, destacando a furtividade do ator de ameaças.