🌐 Забутий сервер хакерів викрив масову мережу зламу сайтів WP-SHELLSTORM

Кіберзлочинне угруповання випадково залишило свій командний сервер у відкритому доступі в інтернеті на 22 дні, що дозволило аналітикам дослідити всю їхню інфраструктуру. Оператор припустився помилки під час запуску простого Python-вебсервера для перенесення файлів, не встановивши пароль. У викритому каталозі обсягом 800 МБ містилися логи атак, інструменти для сканування та списки цілей, до яких увійшли понад 1,4 мільйона унікальних вебсайтів.

Кампанія, яка отримала назву WP-SHELLSTORM, працювала за моделлю брокера доступу: автоматизовані скрипти шукали застарілі плагіни на платформах WordPress та Joomla. Найефективнішим виявився злам плагіна кешування Breeze через вразливість CVE-2026-3844, за допомогою якої хакери завантажили приховані сценарії керування на понад 17 000 ресурсів. Аналіз виявив, що задіяні інструменти написані спрощеною китайською мовою, а самі зловмисники паралельно викрадали ключі доступу до хмар AWS та Alibaba.