Servidor expuesto de de delincuente revela puertas traseras en miles de sitios de WordPress ~ Segu-Info

Un grupo de ciberdelincuentes dejó uno de sus servidores completamente
expuesto en Internet durante tres semanas, revelando así el funcionamiento
interno de la operación: las herramientas de hacking, los registros de
actividad y listas de objetivos con más de 1,4 millones de sitios web. Un
servidor WP-SHELLSTORM abierto expuso herramientas, registros y listas de
objetivos que nombran 1,4 millones de sitios, y los investigadores validaron
25.195 vulneraciones.

Si bien se logró acceder a muchos menos sitios, los archivos expuestos
mostraron a los investigadores cómo se lleva a cabo una operación de hackeo
masivo desde dentro.

La operación, ahora conocida como WP-SHELLSTORM, es lo que
SOCRadar denomina
una red de acceso a webshells: un grupo que accede a sitios web a gran
escala, instala una puerta trasera oculta (una «webshell») en cada uno
y empaqueta ese acceso para su reventa.

La mayor actividad se centró en sitios de WordPress con plugins
desactualizados. Si utilizas WordPress o Joomla, las dos vulnerabilidades más
importantes se encontraban en el plugin de caché Breeze y en el editor JCE de
Joomla; consulta la lista de verificación a continuación si este es tu caso.

Un servidor olvidado

Dos equipos analizaron la misma carpeta expuesta. El equipo de inteligencia de
amenazas de SOCRadar lo detectó el 11 de junio de 2026 en un servidor
alquilado en EE.UU. (137.175.93[.]126) sin contraseña. En su interior se
encontraron aproximadamente 800 MB distribuidos en 434 archivos:
webshells, scripts de explotación, resultados de escaneos, el historial
de comandos del operador y la configuración de comando y control.

Ctrl-Alt-Intel
también había analizado el mismo directorio, tras encontrarlo en la plataforma
de directorios abiertos Hunt.io, y publicó el 22 de junio, semanas antes del
informe de SOCRadar del 9 de julio. La vulnerabilidad se debió a un simple
descuido: el operador inició un servidor web Python para transferir archivos y
lo dejó funcionando durante 22 días.

El equipo aprovechó vulnerabilidades conocidas públicamente en plugins web, la
mayoría en WordPress, y creó escáneres automatizados para lanzar esos exploits
contra enormes listas de objetivos obtenidas de FOFA, un motor de búsqueda
chino para sistemas conectados a Internet, similar a Shodan.

Cuando un sitio web ejecutaba una versión vulnerable, el exploit podía
instalar un webshell: un pequeño script que permite al atacante
ejecutar comandos en el servidor desde cualquier lugar, leer archivos, robar
contraseñas y acceder a niveles más profundos de la red.

El conjunto de herramientas cubría 27 vulnerabilidades conocidas, aunque unas
pocas fueron las que generaron la mayor parte del trabajo. La más importante
fue una vulnerabilidad en el plugin de caché Breeze (CVE-2026-3844), que el
equipo lanzó contra más de 45.000 objetivos y, según sus propios cálculos,
creó puertas traseras en más de 17.000 de ellos.

Las cifras, en términos sencillos

La cifra principal requiere una aclaración. El recuento de 1,4 millones se
refiere a la cantidad de dominios incluidos en las listas de objetivos, no a
la cantidad de sitios comprometidos, y dichas listas abarcaban WordPress,
Joomla y otras plataformas. El archivo más grande contenía una lista de
587.034 objetivos de Joomla.

La cantidad real de sitios comprometidos fue mucho menor, y los dos equipos de
investigación la calcularon de forma diferente: el recuento deduplicado de
Ctrl-Alt-Intel encontró 25.195 sitios con evidencia de compromiso confirmada o
validada, mientras que SOCRadar, contabilizando los webshells activos, estimó
la cifra real en más de 5.700.

Un fallo muestra claramente esta discrepancia: un exploit de Joomla se
lanzó contra más de 560.000 objetivos, pero solo afectó a 77 de ellos.

Estar en la lista de escaneo de alguien no es lo mismo que haber sido
hackeado. Tenga esto en cuenta siempre que un informe comience con una cifra
alarmante de objetivos.

Las herramientas y una campaña anterior

La puerta trasera principal, un archivo llamado down.php, estaba
altamente ofuscada, con cuatro capas de profundidad, y parece una variante de
una webshell china de código abierto llamado BestShell. Una vez en
ejecución, podía gestionar archivos, ejecutar comandos, abrir shells inversas,
escanear la red y comprobar qué software de seguridad utilizaba el host.

Para su propio acceso remoto, el grupo utilizó un dropper SNOWLIGHT para
instalar VShell, una puerta trasera sigilosa que disfraza su nombre de proceso
como [kworker/0:2] para mimetizarse con los hilos del kernel en una lista de
procesos.

Estas dos herramientas tienen un historial: en abril de 2025,
Sysdig vinculó
esta cadena SNOWLIGHT-VShell con el
presunto grupo estatal chino UNC5174. Sin embargo, VShell es una herramienta común en los círculos criminales de
habla china, por lo que su sola presencia no apunta a un actor estatal.

El servidor también contenía rastros de un ataque anterior, muy diferente.
SOCRadar descubrió que, antes del sonado ataque a WordPress, el mismo grupo
llevó a cabo una campaña más discreta a principios de mayo de 2026 contra
sistemas Java corporativos. Extrajeron 613 archivos de configuración de 11
sistemas de nueve empresas de los sectores de tecnología financiera, comercio
electrónico, logística, videojuegos y electrónica.

El botín incluía claves de acceso a la nube para AWS, Alibaba Cloud, Oracle,
Tencent y DigitalOcean, contraseñas de bases de datos y claves privadas RSA de
Alipay. Se aprovecharon de una vulnerabilidad antigua y conocida en Nacos, un
servidor de configuración (CVE-2021-29441), que permite a un atacante eludir el inicio de sesión falsificando una sola
cabecera web.

SOCRadar interpreta la secuencia temporal como una secuencia: primero, obtener
credenciales corporativas de alto valor; luego, semanas después, centrarse en
el ataque de puertas traseras de mayor volumen; una ronda de financiación
antes de la expansión.

Técnicas de trabajo deficientes

Ambos equipos evalúan con un grado de confianza medio-alto que el operador es
chino o habla chino. Señalan el dominio del chino simplificado en todo el
código y el historial de comandos, la dependencia de FOFA (que, según los
investigadores, requiere un número de teléfono chino para registrarse) y las
herramientas Godzilla y VShell, preferidas en foros de habla china.

SOCRadar va un paso más allá, interpretando que el grupo actuaba por motivos
económicos en lugar de estar dirigido por el Estado. Los nombres en los
archivos (tance, chen-kk, chenyk) se consideran pistas, no pruebas
concluyentes. Un cabo suelto destaca: una única dirección IP en Taiwán realizó
más de 42.000 solicitudes para descargar las herramientas del propio grupo.
Podría tratarse de un segundo operador, un cliente u otro investigador. Los
registros no permiten esclarecerlo.

Para un grupo que utilizaba un conjunto de herramientas realmente capaz, la
negligencia del grupo fue notable. Dejó el servidor abierto, un archivo de
configuración de FOFA que esta organización puede rastrear a través de su
canal de investigación, y un historial de comandos sin editar que lo revelaba
todo. Cuando finalmente se percató de su detección, entre el 2 y el 4 de
julio, eliminó varias líneas de registro. Tres semanas demasiado tarde.

Este error es recurrente. En marzo de 2026, la misma organización de
investigación descubrió al grupo ruso Fancy Bear (APT28) de la misma manera:
un directorio abierto que había olvidado expuso las herramientas de phishing y
los registros del grupo, en una campaña que Hunt.io denominó
Operación Roundish.

¿Qué hacer?

Si utiliza alguno de los programas afectados, revíselo hoy mismo. No se trata
de vulnerabilidades desconocidas: dos de ellas están siendo explotadas
activamente en otros lugares.

Wordfence registró decenas de miles de ataques bloqueados
contra la vulnerabilidad de Everest Forms Pro (CVE-2026-3300) esta primavera,
y el fallo JCE de Joomla (CVE-2026-48907) es una vulnerabilidad de máxima
gravedad que
CISA ha añadido a su lista de Vulnerabilidades Explotadas Conocidas.

Lo que hace que WP-SHELLSTORM merezca atención no es su sofisticación, sino su
aparente normalidad. Exploits públicos, escaneo automatizado y una
lista de objetivos de un millón de líneas fueron suficientes para comprometer
sitios web a gran escala, sin necesidad de vulnerabilidades de día cero. Los
detalles son públicos únicamente porque el grupo olvidó apagar su propio
servidor.

Fuente:
THN


Ver fuente

Related Post