Die Bedrohung ist real und aktuell: Der Angreifer mit dem Pseudonym “Mr_Rot13” hat die Anfang letzten Monats öffentlich gemachte Sicherheitslücke CVE-2026-41940 bereits zu großflächigen Angriffen genutzt. Die Schwachstelle betrifft Millionen von Websites, die auf cPanel-basierten Servern gehostet werden – ein Standard-Verwaltungstool für Web-Hoster im deutschsprachigen Raum.
Die Angriffsweise ist perfide: Nach erfolgreicher Authentifizierungsumsetzung lädt eine Shell-Script eine Go-basierte Malware herunter, die als “Filemanager” bekannt ist. Diese implantiert SSH-Schlüssel für persistenten Zugriff und installiert eine PHP-Web-Shell. Diese Shell-Komponente hat es in sich: Sie injiziert JavaScript-Code, um eine gefälschte Login-Seite einzublenden und Anmeldedaten zu stehlen. Die Credentials werden verschlüsselt an C2-Server übermittelt – unter Einsatz von ROT13-Verschlüsselung an die Domain “wrned[.]com”. Im nächsten Schritt erfolgt die Deployment des plattformübergreifenden Filemanager-Backdoors, der Windows, macOS und Linux befallen kann.
Besonders besorgniserregend ist die Datensammlung: Der Backdoor saugt sensible Informationen ab – Bash-Historie, SSH-Daten, Datenbankpasswörter und virtuelle cPanel-Aliases – und schickt sie an eine Telegram-Gruppe des Angreifers “0xWR”. Die Infrastruktur gibt Hinweise auf eine jahrelange Operationsweise im Untergrund: Die C2-Domains waren bereits seit 2020 registriert und wurden in April 2022 in VirusTotal hochgeladen. Über sechs Jahre hinweg blieb die Erkennungsrate von Mr_Rot13s Malware-Samples extrem niedrig.
Für deutsche Unternehmen ist sofortige Aktion erforderlich: Alle cPanel/WHM-Instanzen müssen auf den neuesten Stand gebracht werden. Systemadministratoren sollten ihre Logs auf verdächtige SSH-Zugriffe und unautorisierten Web-Shell-Upload überprüfen. Meldepflichten nach DSGVO sind zu berücksichtigen, wenn persönliche Daten betroffener Kunden gefährdet sind.