El 2 de mayo de 2026, investigadores de Ctrl-Alt-Intel detectaron una campaña activa que explota una vulnerabilidad crítica en cPanel/WHM, registrada como CVE-2026-41940, para obtener unudir autenticación y control elevado de paneles de gestión de hosting. Según el reporte, el esfuerzo ofensivo partió desde la dirección IP 95.111.250.175 y tuvo como blancos principales dominios gubernamentales y militares del sudeste asiático —entre ellos dominios asociados a Filipinas (*.mil.ph, *.ph) y Laos (*.gov.la)— además de un pequeño grupo de proveedores de servicios gestionados (MSP) y proveedores de hosting en Filipinas, Laos, Canadá, Sudáfrica y Estados Unidos.
La campaña no se limitó al uso de PoC públicos para CVE-2026-41940: Ctrl-Alt-Intel documentó un ataque previo dirigido a un portal de formación del sector defensa en Indonesia en el que el adversario ya contaba con credenciales válidas y empleó un encadenamiento personalizado de SQL injection autenticada y ejecución remota de código. Ese ataque incluyó un bypass del CAPTCHA —leyendo el valor esperado desde la cookie de sesión— y la inyección SQL en el parámetro usado para guardar el nombre de un documento, lo que facilita la escalada hacia ejecución remota en la aplicación objetivo.
La cadena de compromiso también revela un patrón operativo sofisticado: los atacantes desplegaron el marco de comando y control AdapdixC2 y herramientas como OpenVPN y Ligolo para mantener acceso persistente y pivotar hacia redes internas, además de crear persistencia a nivel de systemd. En al menos un caso han exfiltrado un volumen importante de documentación del sector ferroviario chino, lo que subraya el carácter orientado a la recolección de inteligencia de la campaña.
La rapidez con que se han aprovechado estas fallas es especialmente preocupante. Censys informó que múltiples terceros comenzaron a weaponizar la vulnerabilidad en menos de 24 horas tras su divulgación pública, con despliegues asociados a variantes del botnet Mirai y a una cepa de ransomware llamada Sorry. Por su parte, Shadowserver reportó que hasta 44.000 direcciones IP comprometidas por CVE-2026-41940 realizaron escaneos y ataques de fuerza bruta contra honeypots el 30 de abril de 2026, cifra que descendió a 3.540 el 3 de mayo, lo que sugiere una ola masiva inicial seguida de una contención parcial o cambio táctico.
Las implicaciones son múltiples y graves. En primer lugar, los MSP y proveedores de hosting se convierten en vectores de amplificación: un control exitoso de un panel cPanel/WHM puede dar acceso a decenas o cientos de clientes, convirtiendo una vulnerabilidad en un riesgo de cadena de suministro. En segundo lugar, la combinación de técnicas (credenciales robadas o reutilizadas, bypass de CAPTCHA basado en cookies, exploits públicos y cadenas personalizadas) apunta a actores con capacidad para mezclar toolkits públicos y desarrollos a medida, lo que dificulta la atribución y acelera la difusión del exploit. Finalmente, la explotación temprana por actores distintos indica que la vulnerabilidad se está convirtiendo en un commodity: los atacantes de baja y alta sofisticación la están utilizando para diferentes fines, desde botnets hasta exfiltración y ransomware.
Para equipos de seguridad y administradores de sistemas las acciones urgentes son claras: primero, aplicar inmediatamente los parches y actualizaciones oficiales de cPanel/WHM y validar que las versiones desplegadas no contengan la ruta de bypass reportada. Si no es posible parchear de inmediato, se recomienda restringir el acceso a WHM con reglas de firewall (permitir acceso solo desde IPs administrativas concretas), deshabilitar acceso remoto innecesario y mover puertos de gestión fuera del acceso público. Además, cambiar y forzar la rotación de credenciales administrativas, activar autenticación multifactor (MFA) en paneles y sistemas adjuntos, y auditar claves SSH y certificados son medidas imprescindibles.
En la detección y respuesta conviene priorizar la búsqueda de indicadores asociados: revisar logs web para intentos de explotación del endpoint de guardado de documentos, cadenas de SQL sospechosas, sesiones que hagan bypass de CAPTCHA leyendo cookies, la presencia de webshells, nuevas unidades systemd creadas por actores externos, túneles OpenVPN o conexiones Ligolo, y tráfico hacia/desde 95.111.250.175 u otros dominios sospechosos. Las organizaciones deben instrumentar detección de comportamiento (EDR/NDR), realizar búsquedas de IoCs en backups y sistemas aislados, y considerar la rotación de credenciales y certificados si hay indicios de compromiso. Si se identifica actividad anómala, aislar el sistema afectado y activar un plan de respuesta a incidentes con retención de evidencias es crítico.
Los MSP y proveedores de hosting, por su parte, deben implementar controles adicionales: segmentación estricta entre cuentas de cliente, monitorización de cambios en configuración de cuentas, bloqueo preventivo de scripts no autorizados en áreas de gestión documental y escaneos forenses periódicos. También es recomendable compartir indicadores con comunidades y organizaciones como Shadowserver para aprovechar datos de escaneo y correlación, y consultar análisis de tendencia en plataformas como Censys para visualizar la actividad de weaponización en internet. Los avisos y boletines oficiales del proveedor (por ejemplo, los comunicados de cPanel) deben consultarse de forma continua para aplicar mitigaciones recomendadas por el fabricante, disponibles en su canal de noticias y seguridad.
En resumen, la combinación de una vulnerabilidad crítica de gestión de hosting, la focalización en objetivos gubernamentales y MSP, y la rapidez con que el exploit se ha convertido en herramienta de terceros crean un escenario de riesgo elevado. La respuesta debe ser simultáneamente técnica y operativa: parcheo y endurecimiento inmediatos, búsqueda activa de indicadores de compromiso, aislamiento de máquinas afectadas, notificación a clientes y autoridades relevantes, y refuerzo de controles a nivel de proveedores para prevenir que un único punto de falla se traduzca en compromisos en cascada.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...