9.000 ataques y un «lo siento»: hackers se disculpan ante los propietarios de servidores con cPane
Un popular panel de control de alojamiento web permitió el acceso sin pedir contraseña.
El problema en un popular panel de control de hosting se convirtió en una verdadera oleada de ataques en un día. Tras la publicación de una vulnerabilidad crítica en cPanel y WHM, miles de servidores comenzaron a comportarse de forma sospechosa, y parte de los sistemas ya resultaron infectados.
La vulnerabilidad CVE-2026-41940 se dio a conocer el 29 de abril. El fallo afecta el proceso de inicio de sesión y permite a un atacante sin autorización eludir las protecciones y obtener privilegios elevados en el servidor. Al cabo de un día, los atacantes empezaron a explotar activamente la brecha, actuando según varios escenarios simultáneamente.
El análisis reveló un fuerte aumento de actividad el 1 de mayo. El número de nodos que los sistemas de monitorización marcaron como maliciosos creció casi al doble. Al mismo tiempo, alrededor del 80% de los nuevos servidores sospechosos funcionaban precisamente con cPanel o WHM. Antes de esto, la proporción de tales sistemas había pasado casi desapercibida frente al ruido general de Internet.
El análisis del tráfico condujo a una pista conocida. La mayor parte de la actividad está relacionada con la prueba masiva de contraseñas por el protocolo Telnet, característica del botnet Mirai. En las etiquetas figura claramente el nombre Mirai, y los ataques se concentran en la infraestructura de proveedores de nube y servidores virtuales.
Paralelamente salió a la luz información sobre el programa malicioso nuclear.x86, que supuestamente se distribuye a través de la vulnerabilidad. La comprobación de la muestra mostró que el propio código no contiene un mecanismo para atacar cPanel. Es decir, los atacantes primero obtienen acceso al servidor por la vulnerabilidad y después cargan el malware.
La historia no termina aquí. En algunos servidores se encontraron indicios de otro ataque. Cerca de 7.000 sistemas comenzaron a servir directorios abiertos donde todos los archivos recibieron la extensión ".sorry". El día anterior no existían esos directorios. Ese tipo de renombrado masivo suele ocurrir después de un cifrado de datos.
Dentro de los directorios hay una nota exigiendo ponerse en contacto mediante el programa qTox y enviar el archivo cifrado para su verificación. La extensión ".sorry" ya se había observado antes en variantes de ransomware basadas en Hidden-Tear, por lo que el escenario resulta familiar. En total, en la red se encontraron casi 9.000 servidores con esos archivos, y más de 7.000 de ellos usan cPanel o WHM. Entre los archivos renombrados aparecen con frecuencia componentes estándar de sitios, incluidos index.php y archivos de WordPress.
En la actualidad se observan al menos dos campañas separadas. La primera despliega variantes de Mirai y utiliza los servidores para posteriores ataques. La segunda cifra datos y exige un rescate. A juzgar por la velocidad de propagación, los ataques automatizados ya están industrializados, y el número de servidores afectados continúa creciendo.