Een recent ontdekte kritieke kwetsbaarheid in cPanel en WebHost Manager (WHM), aangeduid als CVE-2026-41940, wordt actief misbruikt door een dreigingsactor die bekendstaat als Mr_Rot13. Deze kwetsbaarheid maakt een authenticatieomzeiling mogelijk, waardoor aanvallers verhoogde controle over het controlepaneel kunnen verkrijgen en zo backdoors kunnen installeren.

Volgens een nieuw rapport van QiAnXin XLab werd de kwetsbaarheid kort na de publieke bekendmaking eind april door meerdere aanvallers geëxploiteerd. De misbruikactiviteiten omvatten onder meer cryptomining, ransomware, botnetverspreiding en het plaatsen van backdoors. Meer dan 2.000 aanvallers wereldwijd, met name uit Duitsland, de Verenigde Staten, Brazilië en Nederland, zijn betrokken bij geautomatiseerde aanvallen op deze kwetsbaarheid.

De exploitatie maakt gebruik van een shellscript dat via wget of curl een Go-gebaseerde malware downloadt van een externe server. Deze malware plaatst een SSH-public key voor blijvende toegang en installeert een PHP webshell die bestandsoverdracht en het uitvoeren van commando's op afstand mogelijk maakt. De webshell injecteert vervolgens JavaScript om een aangepaste inlogpagina te tonen die inloggegevens steelt en deze via een ROT13-gecodeerde verbinding naar een door de aanvaller beheerd systeem verzendt, zoals te zien is bij wrned.com. De aanval eindigt met de installatie van een cross-platform backdoor die Windows, macOS en Linux kan infecteren.

Daarnaast verzamelt de malware gevoelige informatie van het geïnfecteerde systeem, waaronder bash-geschiedenis, SSH-gegevens, apparaatinformatie, databasewachtwoorden en cPanel virtuele aliassen. Deze data wordt gedeeld in een Telegram-groep met drie leden, beheerd door een gebruiker genaamd "0xWR". In de onderzochte infectieketen wordt de backdoor Filemanager geleverd via een shellscript dat wordt gedownload van het domein "wpsock.com". De backdoor ondersteunt functies voor bestandsbeheer, het uitvoeren van commando's en shelltoegang.

Er zijn aanwijzingen dat de dreigingsactor al jaren onopgemerkt opereert. Zo werd het command-and-control domein dat in de JavaScript-code is verwerkt al in april 2022 gebruikt in een PHP-backdoor genaamd helper.php, en het domein werd geregistreerd in oktober 2020. Volgens XLab is de detectiegraad van samples en infrastructuur gerelateerd aan Mr_Rot13 sinds 2020 zeer laag gebleven.