¿Quién es Mr_Rot13 y cómo opera el backdoor Filemanager en cPanel?
Un actor de amenazas activo desde 2020 está aprovechando una falla crítica de cPanel para desplegar un backdoor multiplataforma. Te explicamos quién es, cómo ataca y cómo identificar señales de compromiso.
📌 Resumen rápido
- Mr_Rot13 es un grupo de amenazas que opera de forma sigilosa desde al menos octubre de 2020.
- Su nombre proviene del uso constante del cifrado ROT13 para ofuscar direcciones de comando y control (C2).
- Despliega un backdoor llamado Filemanager escrito en Go, compatible con Linux, Windows y macOS.
- Aprovecha la vulnerabilidad CVE-2026-41940 para tomar control total de servidores cPanel sin credenciales.
¿Quién es Mr_Rot13?
👤 Perfil del actor
Alias: Mr_Rot13 / 0xWR (handle de Telegram atribuido a su creador).
Actividad conocida: Desde octubre de 2020 (más de 6 años en operación).
Detección AV: Un backdoor PHP de 2022 sigue siendo indetectable por antivirus, según reportes.
Distintivo: Infraestructura estable de larga vida, uso recurrente de ROT13 para ofuscar C2 y disciplina operacional centrada en la evasión por sobre la visibilidad.
Lo que distingue a Mr_Rot13 de otros actores oportunistas no es la sofisticación técnica, sino su disciplina y bajo perfil. Mantienen infraestructura estable durante años, reutilizan herramientas entre campañas y priorizan permanecer en la sombra antes que maximizar impacto inmediato.
¿Qué es el backdoor Filemanager?
Filemanager es la herramienta principal del grupo. Se trata de un backdoor de acceso remoto multiplataforma escrito en Go, con versiones para Linux, Windows y macOS. Una vez activo, expone una consola web de administración en un puerto definido por el atacante, con funciones de:
- Gestión completa de archivos del servidor.
- Ejecución remota de comandos.
- Acceso interactivo a una shell (terminal).
- Persistencia silenciosa con baja detección por antivirus.
¿Cómo es la cadena de ataque automatizada?
Los investigadores han documentado siete fases en la infección, que se ejecutan de manera mayoritariamente automatizada una vez detectado un servidor vulnerable:
-
Fase 1: Explotación inicial
Se abusa de CVE-2026-41940 para saltarse la autenticación de cPanel/WHM. No se requieren credenciales: se obtiene acceso administrativo remoto completo.
-
Fase 2: Entrega del infector
Un script shell descarga y ejecuta un binario en Go desde el servidor del atacante mediante
wgetocurl, y luego se elimina a sí mismo para reducir rastros forenses. -
Fase 3: Implantación SSH
El infector fija una contraseña de root y planta una clave pública SSH controlada por el atacante (suele aparecer con el comentario cpanel-updater), asegurando acceso privilegiado persistente.
-
Fase 4: Despliegue de webshell
Se sube un webshell PHP llamado
cpanel.pyal directorio CGI de cPanel, lo que habilita acceso persistente a archivos y ejecución remota de comandos. -
Fase 5: Robo de credenciales
JavaScript malicioso reemplaza la página de login de cPanel, recolectando silenciosamente usuarios y contraseñas y enviándolos a un C2 ofuscado con ROT13.
-
Fase 6: Instalación del backdoor
El backdoor Filemanager se descarga desde dominios como
wpsock[.]comy se instala con una consola de control web en un puerto TCP personalizado. -
Fase 7: Exfiltración de datos
Historial de bash, claves SSH, contraseñas de bases de datos y alias de cPanel se envían al servidor C2 y a un grupo privado de Telegram mediante canales redundantes.
Lo más preocupante: esta cadena de ataque es completamente automatizada. Una vez que tu servidor aparece en sus escaneos, el compromiso completo puede ocurrir en minutos.
¿Qué indicadores de compromiso (IoCs) debo buscar?
| Tipo | Indicador |
|---|---|
| Archivo sospechoso | Webshell PHP llamado cpanel.py en directorio CGI de cPanel |
| Clave SSH | Entrada en authorized_keys con comentario cpanel-updater |
| Binario infector | Archivo llamado Update (ELF 64-bit, x86-64) |
| Conexiones salientes | Tráfico hacia dominios como wpsock[.]com o wrned[.]com |
| JavaScript | Código en la página de login que envía datos a endpoints ofuscados con ROT13 |
| Exfiltración | Conexiones salientes hacia la API de Telegram |
Tácticas MITRE ATT&CK utilizadas
El grupo combina técnicas de varias fases del marco MITRE ATT&CK para mantener su acceso persistente:
- Acceso inicial (TA0001): T1190 – Explotación de aplicación pública (CVE-2026-41940).
- Ejecución (TA0002): T1059.004 – Unix Shell para ejecutar el infector en Go.
- Persistencia (TA0003): T1098.004 – Inserción de llave SSH; T1505.003 – Webshell en directorio CGI.
- Evasión de defensas (TA0005): T1070.004 – Eliminación de archivos tras ejecución.
- Acceso a credenciales (TA0006): T1056.003 – Captura mediante portal web modificado.
- Exfiltración (TA0010): T1567 – Exfiltración por servicios web (C2 + Telegram).
¿Cómo me protejo del grupo Mr_Rot13?
Las cuatro acciones prioritarias:
- Parchea cPanel y WHM de inmediato a la versión 136.1.7 o superior. Sin parche, todo lo demás es paliativo.
- Restringe las interfaces de WHM y cPanel a IPs de confianza o detrás de VPN.
- Audita las claves SSH autorizadas en todas las cuentas (especialmente root) y elimina cualquier entrada desconocida.
- Monitorea conexiones salientes anómalas, incluidas las dirigidas a la API de Telegram, que muchos sistemas DLP no marcan por defecto.
Si encuentras alguno de los indicadores listados arriba, trata el incidente como un compromiso confirmado. Parchear no elimina el backdoor: necesitas una respuesta a incidentes completa con limpieza, rotación de credenciales y restauración desde respaldos limpios.