Se ha observado que un actor de amenazas previamente desconocido ataca a entidades gubernamentales y militares en el sudeste asiático, junto con un grupo más pequeño de proveedores de servicios administrados (MSP) y proveedores de alojamiento en Filipinas, Laos, Canadá, Sudáfrica y EE. UU., al explotar la vulnerabilidad recientemente revelada en cPanel.
la actividad, detectado por Ctrl-Alt-Intel el 2 de mayo de 2026, implica el abuso de CVE-2026-41940, una vulnerabilidad crítica en cPanel y WebHost Manager (WHM) que podría resultar en una omisión de autenticación y permitir a atacantes remotos obtener un control elevado del panel de control.
Los esfuerzos de ataque se originaron desde la dirección IP «95.111.250[.]175», destacando principalmente los dominios gubernamentales y militares asociados con Filipinas (*.mil.ph y (*.ph)) y Laos (*.gov.la), así como MSP y proveedores de alojamiento, que utilizan disponible públicamente prueba de conceptos (PoC).
Además, Ctrl-Alt-Intel reveló que el actor de amenazas utilizó una cadena de exploits personalizada separada para un portal de capacitación del sector de defensa de Indonesia antes de los ataques de cPanel, empleando una combinación de inyección SQL autenticada y ejecución remota de código. En este caso, se dice que el atacante ya estaba en posesión de credenciales válidas para el portal en cuestión.
«El script utiliza credenciales codificadas y anula el CAPTCHA del portal leyendo el valor CAPTCHA esperado de la cookie de sesión emitida por el servidor en lugar de resolver el desafío normalmente», dijo Ctrl-Alt-Intel.
«Una vez autenticado y pasado el CAPTCHA, el actor pasa a una función de administración de documentos. El parámetro vulnerable es el campo utilizado para guardar el nombre de un documento, y el script inyecta SQL en ese campo cuando se publica en el punto final para guardar el documento».
Un análisis más detallado ha determinado que el actor de la amenaza está utilizando el marco de comando y control (C2) AdaptixC2 para controlar de forma remota el punto final comprometido. También se utilizan herramientas como OpenVPN y Ligolo para facilitar el acceso persistente a las redes internas de las víctimas.
«El actor construyó una capa de acceso duradera usando OpenVPN, Ligolo, systemd persistence, y luego usó ese acceso para pivotar hacia una red interna y exfiltrar un corpus sustancial de documentos del sector ferroviario chino», agregó Ctrl-Alt-Intel.
Actualmente no se sabe quién está detrás de la campaña, pero el desarrollo se produce como lo dijo Censys. descubierto evidencia que sugiere que varios terceros están utilizando la vulnerabilidad de cPanel como arma dentro de las 24 horas posteriores a la divulgación pública, incluida la implementación de variantes de botnet Mirai y una cepa de ransomware llamada Sorry.
Según datos de la Shadowserver Foundation, se dice que al menos 44.000 direcciones IP probablemente comprometidas a través de CVE-2026-41940 tienen comprometido en escaneo y ataques de fuerza bruta contra sus honeypots el 30 de abril de 2026. A partir del 3 de mayo, la cifra ha abandonó a 3.540.
