Un grupo de ciberdelincuentes dejó uno de sus servidores completamente expuesto en Internet durante tres semanas, revelando así el funcionamiento interno de la operación: las herramientas de hacking, los registros de actividad y listas de objetivos con más de 1,4 millones de sitios web. Un servidor WP-SHELLSTORM abierto expuso herramientas, registros y listas de objetivos que nombran 1,4 millones de sitios, y los investigadores validaron 25.195 vulneraciones.
La operación, ahora conocida como WP-SHELLSTORM, es lo que SOCRadar denomina una red de acceso a webshells: un grupo que accede a sitios web a gran escala, instala una puerta trasera oculta (una "webshell") en cada uno y empaqueta ese acceso para su reventa.

La mayor actividad se centró en sitios de WordPress con plugins desactualizados. Si utilizas WordPress o Joomla, las dos vulnerabilidades más importantes se encontraban en el plugin de caché Breeze y en el editor JCE de Joomla; consulta la lista de verificación a continuación si este es tu caso.
Un servidor olvidado
Dos equipos analizaron la misma carpeta expuesta. El equipo de inteligencia de amenazas de SOCRadar lo detectó el 11 de junio de 2026 en un servidor alquilado en EE.UU. (137.175.93[.]126) sin contraseña. En su interior se encontraron aproximadamente 800 MB distribuidos en 434 archivos: webshells, scripts de explotación, resultados de escaneos, el historial de comandos del operador y la configuración de comando y control.
Ctrl-Alt-Intel también había analizado el mismo directorio, tras encontrarlo en la plataforma de directorios abiertos Hunt.io, y publicó el 22 de junio, semanas antes del informe de SOCRadar del 9 de julio. La vulnerabilidad se debió a un simple descuido: el operador inició un servidor web Python para transferir archivos y lo dejó funcionando durante 22 días.
El equipo aprovechó vulnerabilidades conocidas públicamente en plugins web, la mayoría en WordPress, y creó escáneres automatizados para lanzar esos exploits contra enormes listas de objetivos obtenidas de FOFA, un motor de búsqueda chino para sistemas conectados a Internet, similar a Shodan.
Cuando un sitio web ejecutaba una versión vulnerable, el exploit podía instalar un webshell: un pequeño script que permite al atacante ejecutar comandos en el servidor desde cualquier lugar, leer archivos, robar contraseñas y acceder a niveles más profundos de la red.
El conjunto de herramientas cubría 27 vulnerabilidades conocidas, aunque unas pocas fueron las que generaron la mayor parte del trabajo. La más importante fue una vulnerabilidad en el plugin de caché Breeze (CVE-2026-3844), que el equipo lanzó contra más de 45.000 objetivos y, según sus propios cálculos, creó puertas traseras en más de 17.000 de ellos.
Las cifras, en términos sencillos
La cifra principal requiere una aclaración. El recuento de 1,4 millones se refiere a la cantidad de dominios incluidos en las listas de objetivos, no a la cantidad de sitios comprometidos, y dichas listas abarcaban WordPress, Joomla y otras plataformas. El archivo más grande contenía una lista de 587.034 objetivos de Joomla.
La cantidad real de sitios comprometidos fue mucho menor, y los dos equipos de investigación la calcularon de forma diferente: el recuento deduplicado de Ctrl-Alt-Intel encontró 25.195 sitios con evidencia de compromiso confirmada o validada, mientras que SOCRadar, contabilizando los webshells activos, estimó la cifra real en más de 5.700.
Un fallo muestra claramente esta discrepancia: un exploit de Joomla se lanzó contra más de 560.000 objetivos, pero solo afectó a 77 de ellos.
Estar en la lista de escaneo de alguien no es lo mismo que haber sido hackeado. Tenga esto en cuenta siempre que un informe comience con una cifra alarmante de objetivos.
Las herramientas y una campaña anterior
La puerta trasera principal, un archivo llamado down.php, estaba altamente ofuscada, con cuatro capas de profundidad, y parece una variante de una webshell china de código abierto llamado BestShell. Una vez en ejecución, podía gestionar archivos, ejecutar comandos, abrir shells inversas, escanear la red y comprobar qué software de seguridad utilizaba el host.
Para su propio acceso remoto, el grupo utilizó un dropper SNOWLIGHT para instalar VShell, una puerta trasera sigilosa que disfraza su nombre de proceso como [kworker/0:2] para mimetizarse con los hilos del kernel en una lista de procesos.
Estas dos herramientas tienen un historial: en abril de 2025, Sysdig vinculó esta cadena SNOWLIGHT-VShell con el presunto grupo estatal chino UNC5174. Sin embargo, VShell es una herramienta común en los círculos criminales de habla china, por lo que su sola presencia no apunta a un actor estatal.
El servidor también contenía rastros de un ataque anterior, muy diferente. SOCRadar descubrió que, antes del sonado ataque a WordPress, el mismo grupo llevó a cabo una campaña más discreta a principios de mayo de 2026 contra sistemas Java corporativos. Extrajeron 613 archivos de configuración de 11 sistemas de nueve empresas de los sectores de tecnología financiera, comercio electrónico, logística, videojuegos y electrónica.
El botín incluía claves de acceso a la nube para AWS, Alibaba Cloud, Oracle, Tencent y DigitalOcean, contraseñas de bases de datos y claves privadas RSA de Alipay. Se aprovecharon de una vulnerabilidad antigua y conocida en Nacos, un servidor de configuración (CVE-2021-29441), que permite a un atacante eludir el inicio de sesión falsificando una sola cabecera web.
SOCRadar interpreta la secuencia temporal como una secuencia: primero, obtener credenciales corporativas de alto valor; luego, semanas después, centrarse en el ataque de puertas traseras de mayor volumen; una ronda de financiación antes de la expansión.
Técnicas de trabajo deficientes
Ambos equipos evalúan con un grado de confianza medio-alto que el operador es chino o habla chino. Señalan el dominio del chino simplificado en todo el código y el historial de comandos, la dependencia de FOFA (que, según los investigadores, requiere un número de teléfono chino para registrarse) y las herramientas Godzilla y VShell, preferidas en foros de habla china.
SOCRadar va un paso más allá, interpretando que el grupo actuaba por motivos económicos en lugar de estar dirigido por el Estado. Los nombres en los archivos (tance, chen-kk, chenyk) se consideran pistas, no pruebas concluyentes. Un cabo suelto destaca: una única dirección IP en Taiwán realizó más de 42.000 solicitudes para descargar las herramientas del propio grupo. Podría tratarse de un segundo operador, un cliente u otro investigador. Los registros no permiten esclarecerlo.
Para un grupo que utilizaba un conjunto de herramientas realmente capaz, la negligencia del grupo fue notable. Dejó el servidor abierto, un archivo de configuración de FOFA que esta organización puede rastrear a través de su canal de investigación, y un historial de comandos sin editar que lo revelaba todo. Cuando finalmente se percató de su detección, entre el 2 y el 4 de julio, eliminó varias líneas de registro. Tres semanas demasiado tarde.
Este error es recurrente. En marzo de 2026, la misma organización de investigación descubrió al grupo ruso Fancy Bear (APT28) de la misma manera: un directorio abierto que había olvidado expuso las herramientas de phishing y los registros del grupo, en una campaña que Hunt.io denominó Operación Roundish.
¿Qué hacer?
Si utiliza alguno de los programas afectados, revíselo hoy mismo. No se trata de vulnerabilidades desconocidas: dos de ellas están siendo explotadas activamente en otros lugares.
Wordfence registró decenas de miles de ataques bloqueados contra la vulnerabilidad de Everest Forms Pro (CVE-2026-3300) esta primavera, y el fallo JCE de Joomla (CVE-2026-48907) es una vulnerabilidad de máxima gravedad que CISA ha añadido a su lista de Vulnerabilidades Explotadas Conocidas.
Lo que hace que WP-SHELLSTORM merezca atención no es su sofisticación, sino su aparente normalidad. Exploits públicos, escaneo automatizado y una lista de objetivos de un millón de líneas fueron suficientes para comprometer sitios web a gran escala, sin necesidad de vulnerabilidades de día cero. Los detalles son públicos únicamente porque el grupo olvidó apagar su propio servidor.
Fuente: THN
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!