Un grupo de ciberdelincuentes mantuvo uno de sus servidores completamente expuesto en Internet durante tres semanas, permitiendo el acceso a información sobre el funcionamiento interno de su operación: herramientas de hacking, registros de actividad y listas de objetivos que incluían más de 1,4 millones de sitios web. El servidor WP-SHELLSTORM expuso estas herramientas, registros y listas, siendo validadas 25.195 vulneraciones por investigadores.
Aunque el acceso real fue a muchos menos sitios, los archivos expuestos revelaron a los investigadores cómo se ejecuta una operación de hackeo masivo desde su interior.
La operación, ahora conocida como WP-SHELLSTORM, es lo que SOCRadar denomina una red de acceso a webshells: un grupo que accede a sitios web a gran escala, instala una puerta trasera oculta en cada uno y comercializa ese acceso para su reventa.
La mayor actividad se concentró en sitios de WordPress con plugins desactualizados. Para usuarios de WordPress o Joomla, las dos vulnerabilidades más críticas se encontraban en el plugin de caché Breeze y en el editor JCE de Joomla.
El servidor, detectado el 11 de junio de 2026 en un servidor alquilado en Estados Unidos sin contraseña, contenía aproximadamente 800 MB distribuidos en 434 archivos, incluyendo webshells, scripts de explotación, resultados de escaneos, historial de comandos del operador y configuración de comando y control. Ctrl-Alt-Intel analizó el mismo directorio tras encontrarlo en la plataforma Hunt.io y publicó sus hallazgos el 22 de junio. La vulnerabilidad resultó de un simple descuido: el operador inició un servidor web Python para transferencias de archivos y lo dejó funcionando durante 22 días.
El equipo aprovechó vulnerabilidades conocidas públicamente en plugins web, principalmente de WordPress, y creó escáneres automatizados para lanzar exploits contra enormes listas de objetivos obtenidas de FOFA, un motor de búsqueda chino para sistemas conectados a Internet.
Cuando un sitio web ejecutaba una versión vulnerable, el exploit podía instalar un webshell: un script que permite al atacante ejecutar comandos en el servidor desde cualquier lugar, leer archivos, robar contraseñas y acceder a niveles más profundos de la red.
El conjunto de herramientas cubría 27 vulnerabilidades conocidas, aunque unas pocas fueron responsables de la mayor parte del trabajo. La más importante fue una vulnerabilidad en el plugin de caché Breeze (CVE-2026-3844), lanzada contra más de 45.000 objetivos y que, según sus cálculos, creó puertas traseras en más de 17.000 de ellos.
El recuento de 1,4 millones se refiere a la cantidad de dominios incluidos en las listas de objetivos, no a sitios comprometidos, abarcando WordPress, Joomla y otras plataformas. El archivo más grande contenía una lista de 587.034 objetivos de Joomla.
La cantidad real de sitios comprometidos fue mucho menor y fue calculada de forma diferente por ambos equipos: Ctrl-Alt-Intel encontró 25.195 sitios con evidencia de compromiso confirmada o validada, mientras que SOCRadar estimó la cifra real en más de 5.700 basándose en webshells activos.
Un ejemplo ilustra claramente esta discrepancia: un exploit de Joomla se lanzó contra más de 560.000 objetivos, pero solo afectó a 77 de ellos.
La puerta trasera principal, un archivo llamado down.php, estaba altamente ofuscada con cuatro capas de profundidad y parece una variante de BestShell, una webshell china de código abierto. Una vez en ejecución, podía gestionar archivos, ejecutar comandos, abrir shells inversas, escanear la red y comprobar qué software de seguridad utilizaba el host.
Para su propio acceso remoto, el grupo utilizó un dropper SNOWLIGHT para instalar VShell, una puerta trasera sigilosa que disfraza su nombre de proceso como [kworker/0:2] para mimetizarse con los hilos del kernel en una lista de procesos.
En abril de 2025, Sysdig vinculó esta cadena SNOWLIGHT-VShell con el presunto grupo estatal chino UNC5174. Sin embargo, VShell es una herramienta común en los círculos criminales de habla china, por lo que su sola presencia no apunta necesariamente a un actor estatal.
El servidor también contenía rastros de un ataque anterior diferente. SOCRadar descubrió que, antes de la operación contra WordPress, el mismo grupo llevó a cabo una campaña contra sistemas Java corporativos a principios de mayo de 2026. Extrajeron 613 archivos de configuración de 11 sistemas de nueve empresas de los sectores de tecnología financiera, comercio electrónico, logística, videojuegos y electrónica.
El botín incluía claves de acceso a la nube para AWS, Alibaba Cloud, Oracle, Tencent y DigitalOcean, contraseñas de bases de datos y claves privadas RSA de Alipay. Se aprovechó una vulnerabilidad antigua conocida en Nacos, un servidor de configuración (CVE-2021-29441), que permite a un atacante eludir el inicio de sesión falsificando una cabecera web.
SOCRadar interpreta la secuencia temporal como una progresión: primero, obtener credenciales corporativas de alto valor; luego, semanas después, enfocarse en el ataque de puertas traseras de mayor volumen, una ronda de financiación antes de la expansión.
Ambos equipos evalúan con confianza media-alta que el operador es chino o habla chino. Señalan el dominio del chino simplificado en todo el código e historial de comandos, la dependencia de FOFA y las herramientas Godzilla y VShell, preferidas en foros de habla china.
SOCRadar interpreta que el grupo actuaba por motivos económicos en lugar de estar dirigido por el Estado. Los nombres en los archivos se consideran pistas, no pruebas concluyentes. Un detalle destaca: una única dirección IP en Taiwán realizó más de 42.000 solicitudes para descargar las herramientas del grupo, pudiendo tratarse de un segundo operador, un cliente u otro investigador.
Para un grupo que utilizaba un conjunto de herramientas capaz, la negligencia fue notable. Dejó el servidor abierto, un archivo de configuración de FOFA rastreable y un historial de comandos sin editar que revelaba todo. Cuando finalmente detectó su exposición entre el 2 y el 4 de julio, eliminó varias líneas de registro. Tres semanas demasiado tarde.
Este error es recurrente. En marzo de 2026, SOCRadar descubrió al grupo ruso Fancy Bear (APT28) de la misma manera: un directorio abierto que había olvidado expuso las herramientas de phishing y los registros del grupo en una campaña denominada Operación Roundish.
Si utiliza alguno de los programas afectados, revíselo inmediatamente. No se trata de vulnerabilidades desconocidas: dos de ellas están siendo explotadas activamente en otros lugares.
Wordfence registró decenas de miles de ataques bloqueados contra la vulnerabilidad de Everest Forms Pro (CVE-2026-3300) esta primavera, y el fallo JCE de Joomla (CVE-2026-48907) es una vulnerabilidad de máxima gravedad que CISA ha añadido a su lista de Vulnerabilidades Explotadas Conocidas.
Lo que hace que WP-SHELLSTORM merezca atención no es su sofisticación, sino su aparente normalidad. Exploits públicos, escaneo automatizado y una lista de objetivos de un millón de líneas fueron suficientes para comprometer sitios web a gran escala, sin necesidad de vulnerabilidades de día cero. Los detalles son públicos únicamente porque el grupo olvidó apagar su propio servidor.
Con Información de blog.segu-info.com.ar
