Een bedreigingsacteur met de naam Mr_Rot13 wordt toegeschreven aan de exploitatie van een onlangs onthulde kritieke cPanel-fout om een achterdeur met de codenaam Bestandsbeheerder op gecompromitteerde omgevingen.
De aanval maakt misbruik van CVE-2026-41940, een kwetsbaarheid die gevolgen heeft voor cPanel en WebHost Manager (WHM) en die zou kunnen resulteren in het omzeilen van de authenticatie, waardoor aanvallers op afstand meer controle over het configuratiescherm kunnen krijgen.
Volgens een nieuw rapport van QiAnXin XLab is het beveiligingsfoutje kort na de publieke bekendmaking ervan eind vorige maand door een aantal bedreigingsactoren uitgebuit, wat heeft geresulteerd in kwaadwillig gedrag zoals cryptocurrency mining, ransomware, botnetpropagatie en achterdeurimplantatie.
“Uit monitoringgegevens blijkt dat wereldwijd meer dan 2.000 bron-IP’s van aanvallers momenteel betrokken zijn bij geautomatiseerde aanvallen en cybercriminaliteitsactiviteiten die zich op dit beveiligingslek richten”, aldus XLab-onderzoekers. “Deze IP’s zijn verspreid over meerdere regio’s wereldwijd, voornamelijk afkomstig uit Duitsland, de Verenigde Staten, Brazilië, Nederland en andere regio’s.”
Verdere analyse van de voortdurende exploitatieactiviteiten heeft een shellscript aan het licht gebracht dat wget of curl gebruikt om een op Go gebaseerde infector te downloaden van een externe server (“cp.dene.(de(.)com”) dat is ontworpen om een gecompromitteerd cPanel-systeem te implanteren met een openbare SSH-sleutel voor permanente toegang, samen met het laten vallen van een PHP-webshell die het uploaden/downloaden van bestanden en het uitvoeren van externe opdrachten mogelijk maakt.
De webshell wordt vervolgens gebruikt om JavaScript-code te injecteren om een aangepaste inlogpagina te bedienen om inloggegevens te stelen en deze over te hevelen naar een door de aanvaller bestuurd systeem dat is gecodeerd met behulp van het ROT13-cijfer (“wrned(.)com”). Zodra de details zijn verzonden, culmineert de aanvalsketen met de inzet van een platformonafhankelijke achterdeur die Windows-, macOS- en Linux-systemen kan infecteren.
De infector is ook uitgerust om gevoelige informatie van de besmette host te verzamelen, waaronder bash-geschiedenis, SSH-gegevens, apparaatinformatie, databasewachtwoorden en virtuele cPanel-aliassen (ook wel valiasen genoemd), naar een Telegram-groep met drie leden die is gemaakt door een gebruiker met de naam ‘0xWR’.
In de door XLab geanalyseerde infectiereeks wordt Filemanager geleverd via een shellscript dat is gedownload van het domein “wpsock(.)com”. De achterdeur ondersteunt bestandsbeheer, uitvoering van opdrachten op afstand en shell-functionaliteit.
Er zijn tekenen dat de dreigingsactor achter de operatie al jaren in stilte in de schaduw opereert. Deze beoordeling is gebaseerd op het feit dat het command-and-control (C2)-domein dat is ingebed in de JavaScript-code, is gebruikt in een op PHP gebaseerde achterdeur (“helper.php”) die in april 2022 naar het VirusTotal-platform is geüpload. Het domein werd voor het eerst geregistreerd in oktober 2020.
“Gedurende de zes jaar vanaf 2020 tot heden is het detectiepercentage van de gerelateerde monsters en infrastructuur van Mr_Rot13 voor beveiligingsproducten extreem laag gebleven”, aldus XLab.
