🔍 Contexte

Le 1er mai 2026, l’équipe Censys ARC publie une analyse de menace suite à la divulgation le 29 avril 2026 de CVE-2026-41940, une vulnérabilité critique de contournement de pré-authentification affectant cPanel et WHM. La faille impacte le flux de connexion et permet à un attaquant distant non authentifié de contourner les contrôles d’authentification et d’obtenir un accès élevé.

📈 Détection de la vague d’exploitation

Censys a observé une augmentation brutale du nombre d’hôtes classifiés comme malveillants dans son dataset, avec un doublement des comptages par rapport à la veille. En corrélant les données avec les signaux de classification GreyNoise, l’analyse révèle que :

  • Le 1er mai 2026, sur ~19 000 nouveaux hôtes malveillants détectés, plus de 15 000 exécutaient cPanel/WHM, représentant ~80% de la variation nette
  • Les jours précédents, les systèmes cPanel ne représentaient que quelques dizaines à une centaine d’hôtes parmi plus de 80 000 systèmes tagués GreyNoise
  • L’activité est fortement concentrée sur des fournisseurs VPS et d’hébergement cloud (DigitalOcean, Contabo, OVH, Vultr, Oracle, Hetzner, Linode, GoDaddy, Microsoft Azure)

🤖 Campagne 1 : Déploiement de variante Mirai

Un post non vérifié sur X (Twitter) de l’utilisateur @social5h3ll signale l’utilisation de CVE-2026-41940 pour déployer une variante Mirai nommée nuclear.x86. L’analyse du binaire (SHA256 : 95bcc0a2bb0fff25a2770010406cd0964fd4b3033ed8bae181518f7c8b69d324) confirme que :

  • cPanel n’est pas implémenté comme module d’attaque dans le binaire
  • Le malware est déployé post-compromission, après exploitation initiale de la vulnérabilité
  • Les tags GreyNoise identifient une activité de brute force Telnet cohérente avec Mirai

🔒 Campagne 2 : Ransomware “.sorry”

Une seconde campagne distincte est identifiée, ciblant des hôtes cPanel avec un ransomware chiffrant les fichiers et leur ajoutant l’extension ".sorry" :

  • 7 135 hôtes cPanel/WHM exposent des répertoires ouverts avec des fichiers renommés en “.sorry” (sur 8 859 hôtes total)
  • Ces répertoires ouverts n’existaient pas la veille, indiquant une exploitation automatisée à grande échelle
  • L’extension “.sorry” est associée à la variante Hidden-Tear du Sorry Ransomware
  • Une note de rançon est présente, demandant un contact via qTox avec le TOX ID : 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724
  • Les fichiers les plus fréquemment renommés incluent : index.html.sorry (6 465 hôtes), index.php.sorry (1 637), wp-config.php.sorry (795), suggérant un ciblage massif de sites WordPress

📊 Périmètre exposé

  • 1 052 657 hôtes sur Internet exécutent cPanel/WHM
  • 9 595 hôtes ont été observés participant à une activité malveillante au moment de la publication

📄 Nature de l’article

Il s’agit d’une analyse de menace en temps réel publiée par l’équipe de recherche Censys ARC, visant à documenter et quantifier l’exploitation active de CVE-2026-41940 à partir de données de scan Internet et de signaux de classification GreyNoise.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1498 — Network Denial of Service (Impact)
  • T1110.001 — Brute Force: Password Guessing (Credential Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1036 — Masquerading (Defense Evasion)

IOC

  • SHA256 : 95bcc0a2bb0fff25a2770010406cd0964fd4b3033ed8bae181518f7c8b69d324VT · MalwareBazaar
  • CVEs : CVE-2026-41940NVD · CIRCL
  • Fichiers : nuclear.x86
  • Fichiers : index.html.sorry
  • Fichiers : index.php.sorry
  • Fichiers : license.txt.sorry
  • Fichiers : wp-activate.php.sorry
  • Fichiers : wp-config.php.sorry
  • Fichiers : wp-cron.php.sorry
  • Fichiers : wp-load.php.sorry
  • Fichiers : wp-links-opml.php.sorry
  • Fichiers : wp-mail.php.sorry
  • Fichiers : wp-settings.php.sorry

Malware / Outils

  • Mirai (botnet)
  • nuclear.x86 (botnet)
  • Sorry Ransomware (ransomware)
  • Hidden-Tear (ransomware)

🟢 Indice de vérification factuelle : 73/100 (haute)

  • ✅ censys.com — source reconnue (Rösti community) (20pts)
  • ✅ 8760 chars — texte complet (15pts)
  • ✅ 13 IOCs dont des hashes (15pts)
  • ✅ 1/1 IOC(s) confirmé(s) (MalwareBazaar, ThreatFox, VirusTotal) (8pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

IOCs confirmés externellement :

  • 95bcc0a2bb0fff25… (sha256) → VT (41/75 détections)

🔗 Source originale : https://censys.com/blog/the-cpanel-situation-is/

🖴 Archive : https://web.archive.org/web/20260507070436/https://censys.com/blog/the-cpanel-situation-is/