Vor den cPanel-Angriffen setzte derselbe Akteur nach Darstellung von Ctrl-Alt-Intel eine eigene Exploit-Kette gegen ein Schulungsportal des indonesischen Verteidigungssektors ein. Dabei kombinierte er eine authentifizierte SQL-Injection mit Remote Code Execution. In diesem Fall verfügte der Angreifer bereits über gültige Zugangsdaten zu dem Portal.
Laut Ctrl-Alt-Intel nutzte das eingesetzte Skript fest codierte Zugangsdaten und umging das CAPTCHA des Portals, indem es den erwarteten CAPTCHA-Wert aus dem vom Server ausgestellten Sitzungs-Cookie ausliest, statt die Aufgabe regulär zu lösen. Nach erfolgreicher Anmeldung und bestandenem CAPTCHA wechselte der Akteur zu einer Funktion für die Dokumentenverwaltung. Verwundbar war das Feld zum Speichern eines Dokumentnamens: In dieses Feld schleuste das Skript beim Aufruf des Speichern-Endpunkts SQL-Code ein.
Zur Fernsteuerung der kompromittierten Systeme verwendete der Angreifer das Command-and-Control-Framework AdaptixC2. Für dauerhaften Zugang zu internen Netzen kamen zudem Werkzeuge wie OpenVPN und Ligolo zum Einsatz. Nach Angaben von Ctrl-Alt-Intel baute der Akteur mit OpenVPN, Ligolo und systemd-Persistenz eine belastbare Zugangsschicht auf, nutzte diesen Zugang, um in ein internes Netz vorzudringen, und exfiltrierte einen umfangreichen Bestand an Dokumenten aus dem chinesischen Eisenbahnsektor.
Wer hinter der Kampagne steht, ist weiterhin offen. Parallel meldete Censys Hinweise darauf, dass die cPanel-Schwachstelle innerhalb von 24 Stunden nach ihrer Veröffentlichung von mehreren Dritten ausgenutzt wird – unter anderem zum Ausspielen von Varianten des Mirai-Botnetzes und einer Ransomware namens Sorry.
Daten der Shadowserver Foundation zufolge waren am 30. April 2026 mindestens 44.000 IP-Adressen, die mutmaßlich über CVE-2026-41940 kompromittiert wurden, an Scans und Brute-Force-Angriffen gegen die Honeypots der Stiftung beteiligt. Bis zum 3. Mai sank diese Zahl auf 3.540.