Расследование показало, что за недавним всплеском атак стоят не случайные новички, а настоящие профессионалы.
Специалисты QiAnXin XLab рассказали о хакерской группировке Mr_Rot13, которая годами оставалась незаметной, а теперь использует критическую уязвимость в cPanel & WHM для захвата серверов. История выглядит не как разовая атака ради быстрой выгоды, а как работа устойчивой команды, успевшей выстроить собственную инфраструктуру и каналы для кражи данных.
Речь идёт о CVE-2026-41940, уязвимости обхода аутентификации с оценкой 9,8 балла по шкале CVSS. После публичного раскрытия 28 апреля 2026 года её начали активно использовать разные преступные группы. По данным XLab, в атаках уже замечены более 2000 IP-адресов по всему миру, чаще всего из Германии, США, Бразилии и Нидерландов. Через брешь злоумышленники могут получить административный доступ к панели управления без логина и пароля.
4 мая специалисты нашли вредоносный загрузчик на Go, который доставлялся как раз через CVE-2026-41940. Программа меняла пароль root, добавляла SSH-ключ, внедряла PHP-скрипт для удалённого доступа и JavaScript-код для кражи данных в страницу входа cPanel. Скрипты перехватывали логины, пароли, User-Agent и текущий URL, после чего отправляли данные на сервер атакующих. Дополнительный канал вывода информации работал через Telegram-группу, связанную с ботом log_FatherBot.
Затем на заражённый сервер устанавливался Filemanager — кроссплатформенный троян удалённого управления для Linux, Windows и macOS. Через веб-интерфейс операторы могли просматривать файлы, выполнять команды и фактически управлять системой после взлома. В схожих кампаниях атакующие точно так же устанавливали бэкдоры для сохранения долгосрочного контроля над серверами жертв.
При разборе инфраструктуры XLab связала текущую кампанию с доменом wrned.com, который встречался и в PHP-бэкдоре, загруженном на VirusTotal ещё в 2022 году. Авторы отчёта считают, что активность Mr_Rot13 может тянуться как минимум с 2020 года. При этом образцы и домены группы долго почти не замечали защитные продукты.
XLab дала группе название Mr_Rot13 из-за использования алгоритма ROT13 для сокрытия адреса управляющего сервера и имени 0xWR, найденного среди данных Telegram-группы. По словам авторов отчёта, личности участников пока подтвердить не удалось. После подозрительной активности пользователя xrill_y в Telegram злоумышленники быстро сменили токен бота и временно удалили его из группы, что говорит о внимательном контроле за операцией. Показательно, что уязвимости с возможностью обхода аутентификации стабильно остаются одним из наиболее эксплуатируемых классов угроз.