كشفت تقارير أمنية حديثة عن حملة استغلال واسعة تستهدف ثغرة حرجة في cPanel وWebHost Manager (WHM) تحمل الرمز CVE-2026-41940، تسمح للمهاجمين بتجاوز المصادقة والوصول إلى صلاحيات مرتفعة داخل لوحات التحكم. وقد نُسبت هذه الهجمات إلى جهة تهديد تُعرف باسم Mr_Rot13، التي استخدمت الثغرة لنشر باب خلفي متطور أطلق عليه اسم Filemanager.
تفاصيل الاستغلال وأدوات الهجوم
وفقاً لتحليل فريق QiAnXin XLab، فإن الهجمات بدأت مباشرة بعد الإعلان عن الثغرة أواخر الشهر الماضي، وأسفرت عن أنشطة خبيثة تشمل التعدين غير المشروع للعملات الرقمية، نشر برمجيات الفدية، توسيع شبكات البوتنت، وزرع أبواب خلفية.
المهاجمون استخدموا سكربتات Shell تعتمد على أدوات لتنزيل مُصيب مكتوب بلغة Go من خادم خارجي، يقوم بزرع مفتاح SSH عام داخل النظام المخترق لضمان الوصول المستمر، إضافة إلى إسقاط Web Shell بلغة PHP يتيح رفع وتنزيل الملفات وتنفيذ الأوامر عن بُعد.
سرقة بيانات واعتراض تسجيل الدخول
الـ Web Shell يُستخدم أيضاً لحقن شيفرة JavaScript تعرض صفحة تسجيل دخول مزيفة لسرقة بيانات الاعتماد، ثم إرسالها إلى خادم خارجي مشفر بطريقة ROT13. بعد ذلك، يتم نشر الباب الخلفي Filemanager القادر على إصابة أنظمة متعددة تشمل Windows وmacOS وLinux، مع وظائف لإدارة الملفات وتنفيذ الأوامر عن بعد.
انتشار عالمي للهجمات
بيانات المراقبة أظهرت أن أكثر من 2000 عنوان IP حول العالم يشارك حالياً في هجمات آلية تستهدف هذه الثغرة، مع تركّز النشاط في دول مثل ألمانيا، الولايات المتحدة، البرازيل، وهولندا.
كما تبين أن المهاجمين يجمعون معلومات حساسة من الأنظمة المصابة، مثل سجلات bash، بيانات SSH، كلمات مرور قواعد البيانات، وبيانات البريد الافتراضي في cPanel، ثم يرسلونها إلى مجموعة خاصة على Telegram يديرها مستخدم باسم “0xWR”.
جذور قديمة وبنية تحتية مستمرة
التحقيقات كشفت أن البنية التحتية المستخدمة في هذه الهجمات ليست جديدة، إذ تم رصد النطاقات المرتبطة بها منذ عام 2020، كما ظهر ملف خبيث باسم “helper.php” على منصة VirusTotal في أبريل 2022 يستخدم نفس خوادم التحكم والسيطرة (C2).
هذا يشير إلى أن المهاجمين كانوا يعملون في الخفاء لسنوات، مع معدل كشف منخفض للغاية عبر منتجات الأمن المختلفة، مما يعكس مستوى عالٍ من التخفي والقدرة على الاستمرار.
