Una vulnerabilidad crítica en cPanel y WebHost Manager (WHM), rastreada como CVE-2026-41940, según los investigadores de QiAnXin XLab, está siendo explotada activamente por numerosos actores maliciosos para desplegar backdoors, mineros de criptomonedas, ransomware y botnets. De acuerdo con el informe de XLab, más de 2.000 direcciones IP de atacantes participan en ataques automatizados contra esta vulnerabilidad. Los administradores de servidores con cPanel deben comprobar de inmediato la disponibilidad de actualizaciones y la presencia de posibles indicios de compromiso.

Características técnicas de la vulnerabilidad y cadena de ataque

La vulnerabilidad CVE-2026-41940 afecta a los paneles de control cPanel y WHM y, según se informa, permite eludir la autenticación, otorgando a atacantes remotos un control ampliado sobre el panel de administración. Importante advertencia: en el momento de la publicación no existe confirmación oficial de este CVE por parte del proveedor cPanel, ni registro en la NVD ni recomendaciones de CISA, por lo que los detalles de la vulnerabilidad deben tratarse con cautela.

Según los investigadores, la cadena de ataque incluye varias fases consecutivas:

1. Explotación inicial: aprovechamiento de la vulnerabilidad para obtener acceso al panel de control
2. Descarga del infectador: un shell script, a través de wget o curl, descarga un binario en Go desde el servidor cp.dene[.]de[.]com
3. Persistencia en el sistema: el infectador inyecta la clave SSH del atacante para mantener acceso permanente e instala un PHP web shell con funciones de carga/descarga de archivos y ejecución remota de comandos
4. Robo de credenciales: el web shell inserta código JavaScript que sustituye la página de inicio de sesión para interceptar usuarios y contraseñas, que se envían al dominio wrned[.]com
5. Despliegue del backdoor: la fase final incluye la instalación del backdoor multiplataforma Filemanager, capaz, según los investigadores, de funcionar en Windows, macOS y Linux

Según se informa, el backdoor Filemanager se distribuye mediante un shell script desde el dominio wpsock[.]com y admite la gestión de archivos, la ejecución remota de comandos y una funcionalidad de shell interactiva.

Recopilación y exfiltración de datos

Además de instalar el backdoor, el infectador, según XLab, recopila un amplio espectro de información sensible del host comprometido:

• Historial de comandos de bash
• Datos de SSH (claves, configuraciones)
• Información del dispositivo
• Contraseñas de bases de datos
• Aliases virtuales de cPanel (valiases)

Se supone que los datos recopilados se exfiltran a un grupo de Telegram de tres participantes, creado por un usuario con el alias «0xWR». El uso de Telegram como canal de control es una táctica habitual que dificulta el bloqueo de la infraestructura de los atacantes.

Contexto de la amenaza y atribución

Los investigadores de XLab vinculan la campaña con un grupo al que han denominado Mr_Rot13, en referencia al cifrado ROT13 utilizado para codificar el nombre de dominio del servidor C2. El nombre de dominio wrned[.]com, al decodificarse mediante ROT13, se convierte en jearq[.]com.

Una confirmación indirecta de la actividad prolongada del grupo es el hallazgo del backdoor PHP helper.php, subido a VirusTotal en abril de 2022 y que utiliza el mismo dominio C2. El propio dominio, según se informa, fue registrado en octubre de 2020, lo que indica una posible actividad de varios años.

Debe subrayarse que la atribución se basa en una única fuente de investigación y no ha sido confirmada por analistas independientes ni por organismos estatales.

De acuerdo con XLab, las direcciones IP de los atacantes están distribuidas por múltiples regiones, principalmente Alemania, Estados Unidos, Brasil y los Países Bajos. Sin embargo, la distribución geográfica de las IP de origen puede reflejar la ubicación de servidores proxy y VPN, y no la localización real de los operadores.

Evaluación del impacto

cPanel sigue siendo uno de los paneles de control de hosting más extendidos en el mundo. La compromisión de un servidor con cPanel afecta potencialmente a todos los sitios y cuentas alojados en él, lo que convierte a cada servidor comprometido en un punto de entrada para ataques simultáneos contra decenas o cientos de recursos web.

La combinación de bypass de autenticación, robo de credenciales y un backdoor multiplataforma crea una amenaza en varias capas: incluso después de detectar y eliminar el vector de entrada inicial, los atacantes pueden mantener el acceso mediante las claves SSH inyectadas o las credenciales robadas.

Indicadores de compromiso

• Dominios: cp.dene[.]de[.]com, wrned[.]com, wpsock[.]com
• Hash SHA-256: 2d7d121dfcca6c17130ef605124869bf84ce77bee343ada78e0db2236174583a (helper.php)

Recomendaciones de protección

• Comprobar la disponibilidad de actualizaciones de cPanel/WHM e instalar la última versión disponible
• Auditar el archivo authorized_keys en todas las cuentas del servidor y eliminar claves SSH desconocidas
• Revisar la presencia de archivos PHP sospechosos en los directorios de cPanel, en especial aquellos con funciones eval(), base64_decode() y llamadas de red
• Comprobar en los registros DNS y de tráfico de red la existencia de conexiones salientes hacia los dominios indicados
• Verificar la integridad de las páginas de inicio de sesión de cPanel: el JavaScript inyectado puede modificar el formulario de autenticación
• Cambiar todas las contraseñas de cuentas administrativas y de bases de datos en los servidores comprometidos
• Restringir el acceso a la interfaz de cPanel/WHM por direcciones IP mediante el firewall

Se recomienda a los administradores de servidores con cPanel/WHM que, como prioridad, comprueben la presencia de claves SSH no autorizadas y de archivos PHP sospechosos; estos dos indicios constituyen los indicadores más fiables del compromiso descrito. Si se detectan rastros del ataque, es necesario aislar el servidor, llevar a cabo una auditoría completa de todas las cuentas alojadas y considerar comprometidas todas las credenciales almacenadas en el servidor.