Một tác nhân đe dọa mang tên Mr_Rot13 đã bị quy trách nhiệm cho việc khai thác một lỗ hổng cPanel nghiêm trọng vừa được tiết lộ nhằm triển khai một backdoor có tên mã Filemanager trên các môi trường bị xâm nhập.
Cuộc tấn công khai thác CVE-2026-41940, một lỗ hổng ảnh hưởng đến cPanel và WebHost Manager (WHM), có thể dẫn đến việc vượt qua xác thực và cho phép những kẻ tấn công từ xa giành quyền kiểm soát nâng cao bảng điều khiển.
Theo một báo cáo mới từ QiAnXin XLab, khiếm khuyết bảo mật này đã bị một số tác nhân đe dọa khai thác ngay sau khi được công bố rộng rãi vào cuối tháng trước, dẫn đến các hành vi độc hại như khai thác tiền điện tử, ransomware, phát tán botnet và cài đặt backdoor.
"Dữ liệu giám sát cho thấy hiện có hơn 2.000 IP nguồn tấn công trên toàn thế giới đang tham gia vào các cuộc tấn công tự động và hoạt động tội phạm mạng nhắm vào lỗ hổng này," các nhà nghiên cứu XLab cho biết. "Các IP này phân bổ ở nhiều khu vực trên toàn cầu, chủ yếu đến từ Đức, Hoa Kỳ, Brazil, Hà Lan và các khu vực khác."
Phân tích sâu hơn về hoạt động khai thác đang diễn ra đã phát hiện một shell script sử dụng wget hoặc curl để tải xuống một trình lây nhiễm (infector) viết bằng Go từ một máy chủ từ xa ("cp.dene.[de[.]com"). Trình lây nhiễm này được thiết kế để cài đặt khóa công khai SSH vào hệ thống cPanel bị xâm nhập nhằm duy trì quyền truy cập lâu dài, đồng thời thả một PHP web shell để hỗ trợ tải lên/tải xuống tệp và thực thi lệnh từ xa.
Web shell sau đó được sử dụng để tiêm mã JavaScript nhằm hiển thị một trang đăng nhập tùy chỉnh để đánh cắp thông tin đăng nhập và chuyển hướng chúng đến hệ thống do kẻ tấn công kiểm soát, được mã hóa bằng thuật toán ROT13 ("wrned[.]com"). Sau khi thông tin được truyền đi, chuỗi tấn công kết thúc bằng việc triển khai một backdoor đa nền tảng có khả năng lây nhiễm các hệ thống Windows, macOS và Linux.
Trình lây nhiễm cũng được trang bị để thu thập thông tin nhạy cảm từ máy chủ bị xâm nhập, bao gồm lịch sử bash, dữ liệu SSH, thông tin thiết bị, mật khẩu cơ sở dữ liệu và các bí danh ảo cPanel (valiases), gửi đến một nhóm Telegram gồm 3 thành viên được tạo bởi người dùng tên "0xWR".
Trong chuỗi lây nhiễm được XLab phân tích, Filemanager được phân phối thông qua một shell script được tải xuống từ tên miền "wpsock[.]com". Backdoor này hỗ trợ quản lý tệp, thực thi lệnh từ xa và chức năng shell.
Có những dấu hiệu cho thấy tác nhân đe dọa đứng sau chiến dịch này đã hoạt động âm thầm trong bóng tối suốt nhiều năm. Đánh giá này dựa trên thực tế là tên miền điều khiển (C2) được nhúng trong mã JavaScript đã được sử dụng trong một backdoor dựa trên PHP ("helper.php") được tải lên nền tảng VirusTotal vào tháng 4 năm 2022. Tên miền này được đăng ký lần đầu vào tháng 10 năm 2020.
"Trong suốt sáu năm từ 2020 đến nay, tỷ lệ phát hiện các mẫu liên quan đến Mr_Rot13 và cơ sở hạ tầng của chúng trên các sản phẩm bảo mật vẫn ở mức cực kỳ thấp," XLab cho biết.
