La necesidad obliga: estudiante de Bangladés hackea sitios militares con PHP para costear sus estudios

Investigadores de Howler Cell relataron un mercado subterráneo de sitios web comprometidos atendido por estudiantes y freelancers de Asia. En el centro de su nuevo informe está un estudiante de Bangladés que estudia ciberseguridad y sueña con trabajar en un red team, quien a la vez gana dinero para sus estudios vendiendo accesos a recursos comprometidos. Para ello utiliza una puerta trasera PHP indetectable para los antivirus llamada Beima y un panel de control de botnet, y los compradores clave son delincuentes de China, Indonesia y Malasia.

Según Howler Cell, el estudiante compra o encuentra por su cuenta sitios vulnerables en WordPress y cPanel con errores de configuración, los añade al panel y luego ofrece acceso a ellos en Telegram. Los sitios habituales se venden por 3–4 dólares estadounidenses, y los recursos de las zonas de dominio .edu y .gov cuestan alrededor de 200 dólares. Frente a un salario mensual mediano en Bangladés de alrededor de 220 dólares estadounidenses, ese esquema se convierte en un negocio muy rentable para un hacker principiante y otros freelancers que operan con un modelo similar.

En total los investigadores contabilizaron alrededor de 5200 sitios ofrecidos a la venta en canales de Telegram relacionados. La mayoría de los recursos está en Asia, pero también hay víctimas en Europa, Norte y Sudamérica, África y Oceanía. La distribución por sectores muestra un claro sesgo hacia la educación y los organismos públicos, que suman el 76 % de las ofertas. Los autores del informe deliberadamente no publican dominios concretos y subrayan que no verificaron cada uno de ellos; sin embargo, entre los lotes aparecen grandes universidades, fuerzas policiales, estructuras militares, tribunales y oficinas de los fiscales generales. En caso de una compromisión real de esos recursos, las consecuencias dependen de cómo decidan utilizar la infraestructura los grupos que compran acceso.

El núcleo técnico de la campaña es el webshell PHP Beima. Según Howler Cell, esta puerta trasera permaneció totalmente no detectada en VirusTotal desde el 9 de mayo de 2024 al menos hasta noviembre de 2025. El script suele cargarse en el servidor bajo el nombre style.php, acepta solo comandos cifrados y utiliza una clave privada RSA integrada para descifrarlos. A través de él los atacantes pueden ejecutar código arbitrario en el servidor, subir y modificar archivos, inyectar su propio código en las páginas de índice, suplantar el contenido del sitio, persistir en directorios aleatorios y usar los servidores comprometidos como nodos de botnet y proxies para reconocimiento y ataques posteriores.

El intercambio de comandos con el webshell se basa en estructuras JSON y en un panel de control aparte alojado en el dominio tool.zjtool[.]top. La interfaz del panel, según los investigadores, está íntegramente en chino, y los nombres de los parámetros coinciden con funciones en el código del webshell, por ejemplo doBeima, doLock, doStyle. A través de ese panel los operadores cargan conjuntos de objetivos, gestionan el despliegue de cargas útiles adicionales y ejecutan scripts de enumeración que buscan en los sitios credenciales, claves de acceso a nubes, archivos de configuración y copias de seguridad, datos importantes de analítica empresarial y otros datos sensibles.

Howler Cell destaca además que no en todos los casos se venden recursos ya infectados. En varios episodios en Telegram se anunciaban simplemente sitios mal configurados que son susceptibles de ser capturados con el mismo Beima. En esos tratos el comprador paga una lista de dominios vulnerables y luego realiza la explotación por su cuenta, lo que reduce aún más la barrera de entrada para novatos en el entorno delictivo cibernético.

Los investigadores describen lo ocurrido como un elemento de un modelo más amplio de crowdsourcing del cibercrimen. En él, actores dispersos, a menudo estudiantes y jóvenes profesionales de Bangladés, China, Indonesia, Malasia y otros países de la región, suministran por sumas bajas a escala mundial nuevos puntos de apoyo para grupos más organizados. Telegram actúa como la plataforma principal para buscar clientes, confirmar el acceso y realizar pagos, y criptomonedas como el bitcoin proporcionan anonimato y sencillez en las transacciones.

Para los propietarios de sitios en WordPress y cPanel, los autores del informe recomiendan considerar estos casos como motivo para revisar la higiene básica de seguridad. Principalmente se trata de configurar correctamente los permisos de archivos y directorios, eliminar plugins y temas innecesarios, actualizar puntualmente el motor y los componentes, activar la autenticación multifactor para los administradores, restringir el acceso al panel de control y analizar los registros de forma regular. Un indicador de compromiso puede ser la presencia de archivos PHP sospechosos en directorios atípicos, consultas al dominio tool.zjtool[.]top, así como la detección en el código de cadenas como doBeima, doLock o doStyle, que se usan en el webshell Beima.

Según Howler Cell, la campaña descrita no solo demuestra la alta persistencia de una puerta trasera concreta, sino que muestra de forma clara cómo errores relativamente simples de administración y la baja barrera de entrada para freelancers alimentan un ecosistema criminal sostenido y descentralizado en torno a sitios comprometidos.