Uma vulnerabilidade crítica identificada como CVE-2026-41940 está sendo explorada ativamente por grupos hackers para comprometer servidores que utilizam cPanel & WHM. O alerta foi divulgado por pesquisadores da XLab, que associaram a campanha a um grupo cibercriminoso altamente furtivo e ativo há vários anos.
A falha permite que invasores obtenham acesso administrativo ao servidor sem necessidade de autenticação. Na prática, isso significa que criminosos conseguem assumir controle completo do ambiente afetado, incluindo bancos de dados, configurações internas e todos os sites hospedados na máquina.
Ataques utilizam backdoors e roubo de credenciais
Segundo os pesquisadores, os ataques seguem uma cadeia relativamente sofisticada após a invasão inicial.
Os criminosos alteram a senha root do servidor comprometido e implantam uma chave SSH oculta para manter acesso persistente ao sistema. Em seguida, instalam uma web shell em PHP, permitindo execução remota de comandos e gerenciamento completo de arquivos dentro do ambiente comprometido.
Os investigadores também identificaram modificações diretas na página de login do cPanel. O código malicioso inserido captura silenciosamente nomes de usuário e senhas digitados pelos administradores e envia as informações para servidores controlados pelos atacantes.
Além disso, os operadores instalam um trojan multiplataforma chamado Filemanager, usado para acesso remoto contínuo aos servidores comprometidos.
Entre os dados exfiltrados estão:
- Credenciais administrativas
- Senhas de banco de dados
- Chaves SSH
- Histórico de comandos executados
Parte dessas informações é enviada para servidores externos controlados pelo grupo, enquanto outra parte é compartilhada em canais privados no Telegram.
Grupo Mr_Rot13 opera de forma silenciosa desde 2020
A XLab atribuiu os ataques a um grupo apelidado de Mr_Rot13, nome derivado tanto do identificador utilizado pelos operadores no Telegram quanto da técnica de ofuscação ROT13 empregada para esconder os endereços de comando e controle da operação.
De acordo com a investigação, o domínio principal utilizado pelos criminosos está ativo desde pelo menos 2020.
Os pesquisadores destacaram ainda que uma backdoor associada ao grupo foi enviada ao VirusTotal em 2022 e permaneceu sem detecção por mecanismos de segurança durante anos. Para a XLab, isso indica que os operadores possuem forte capacidade de evasão e atuação discreta.
Exploração da CVE 2026 41940 cresce rapidamente
A campanha não está limitada a um único grupo. Diversos agentes de ameaça passaram a explorar a vulnerabilidade para distribuir ransomware, variantes da botnet Mirai e ferramentas voltadas ao roubo de dados corporativos.
Segundo a XLab, mais de 2 mil endereços IP estão atualmente envolvidos em ataques automatizados contra servidores cPanel expostos na internet. O tráfego malicioso foi identificado principalmente a partir de da Alemanha, Estados Unidos, Brasil e Holanda.
O impacto já começa a ser percebido em diferentes países. No Japão, pesquisadores da Macnica Security Research Center informaram que 194 dos 1.692 servidores cPanel publicamente acessíveis no país foram atingidos pelo ransomware Sorry.
cPanel libera atualizações de segurança
A equipe do cPanel segue atualizando os comunicados oficiais de segurança com novos patches para diferentes versões do cPanel & WHM, além de versões revisadas das ferramentas de detecção.
Especialistas recomendam aplicação imediata das correções de segurança, revisão de acessos SSH e monitoramento de possíveis alterações indevidas em páginas de autenticação.
Administradores também devem procurar indicadores de comprometimento, incluindo:
- Web shells em PHP
- Chaves SSH desconhecidas
- Processos suspeitos
- Conexões externas incomuns
A recomendação é considerada urgente devido ao crescimento acelerado da exploração da vulnerabilidade e ao potencial impacto sobre ambientes corporativos e provedores de hospedagem.
