فراتر از باج‌افزار؛ افشای شبکه جاسوسی «Mr_Rot13» در قلب سرورهای ایران!

اگر تصور می‌کردید بحران cPanel تنها به رمزنگاری فایل‌ها ختم می‌شود، سخت در اشتباهید. یافته‌های جدید آزمایشگاه امنیتیXLab نشان می‌دهد که یک بازیگر قدیمی و حرفه‌ای به نام Mr_Rot13، که از سال ۲۰۲۰ در سکوت کامل راداری فعالیت می‌کرده، اکنون با سوءاستفاده از نقص CVE-2026-41940، در حال کاشتن درهای پشتی (Backdoors) دائمی در سرورهاست. این دیگر یک سرقت ساده نیست؛ این یک اشغال نظامی در فضای دیجیتال است.

خبرنگار:

بهراد یوسفی

۱. کالبدشکافی حمله: از «نفوذ لحظه‌ای» تا «اقامت دائمی»

هکرها در این موج جدید، به جای نابود کردن داده‌ها، به دنبال ماندگاری (Persistence) هستند.

کاشت کلیدSSH: بدافزار در اولین قدم، یک کلید عمومی SSH را در سرور قرار می‌دهد تا هکر حتی پس از تغییر رمز عبور توسط مدیر سایت، همچنان بتواند مانند یک صاحب‌خانه وارد سرور شود.
تکنیک ROT13: این هکر از یک الگوریتم رمزنگاری قدیمی به نام ROT13 برای مخفی کردن آدرس سرورهای خود استفاده می‌کند تا سیستم‌های امنیتی متوجه خروج اطلاعات نشوند.

۲. فیشینگ هوشمند؛ وقتی صفحه لاگین سرور شما دروغ می‌گوید!

یکی از وحشتناک‌ترین بخش‌های این گزارش، تزریق کدهای جاوااسکریپت به صفحه ورود (Login) سرور است.

سرقت اعتبارنامه: هکر صفحه اصلی ورود به cPanel را با یک نسخه جعلی جایگزین می‌کند. شما نام کاربری و رمز خود را وارد می‌کنید، غافل از اینکه این اطلاعات مستقیماً برای هکر ارسال شده و سپس شما به پنل واقعی هدایت می‌شوید تا شک نکنید.
سرقت رمزهای دیتابیس: این بدافزار به طور خودکار تمام پسوردهای دیتابیس و ایمیل‌های ست شده در cPanel (Valiases) را جمع‌آوری کرده و به یک گروه خصوصی در تلگرام ارسال می‌کند.

وضعیت قرمز در وب‌فارسی؛ باج‌افزار «Sorry» با عبور از سد cPanel هزاران سایت را به زانو درآورد! در ادامه حتما بخوانید

۳. ظهور بدافزار Filemanager؛ یک ابزار همه‌کاره

بدافزار جدیدی که در این حملات مستقر می‌شود،Filemanager نام دارد. این ابزار یک «پنل مدیریت هکری» است که به مهاجم اجازه می‌دهد:

فایل‌های سرور را مانند مدیر سایت حذف یا آپلود کند.
دستورات لینوکسی را مستقیماً اجرا کند.
از منابع سرور برای استخراج ارز دیجیتال (ماینینگ) استفاده کند.

۴. تحلیل ۲۴ نیوز: چرا شناسایی این گروه ۶ سال طول کشید؟

گروه Mr_Rot13 از سال ۲۰۲۰ فعال بوده اما نرخ شناسایی (Detection Rate) آن‌ها در آنتی‌ویروس‌ها نزدیک به صفر بوده است. این موضوع نشان می‌دهد ما با یک تیم بسیار متخصص روبرو هستیم که از «بدافزارهای چند سکویی» استفاده می‌کنند که همزمان لینوکس، ویندوز و مک را آلوده می‌کنند.

اقدامات امنیتی فوری ۲۴ نیوز برای مدیران سرور:

بررسی فایل‌های SSH: پوشه .ssh و فایل authorized_keys را چک کنید. اگر کلید غریبه‌ای دیدید، سرور شما هک شده است.
جستجوی فایل helper.php:وجود فایلی با این نام یا کدهای مشکوک در روت هاست را بررسی کنید.
تغییر تمامی پسوردهای دیتابیس: حتی اگر پنل را آپدیت کردید، فرض را بر این بگذارید که پسوردهای دیتابیس شما قبلاً به تلگرام هکر ارسال شده است.