Un actor desconocido explota desde finales de abril una vulnerabilidad crítica en cPanel registrada como CVE-2026-41940 para infiltrarse en gobiernos del Sudeste Asiático y proveedores de servicios gestionados en cuatro continentes. La operación, detectada por Ctrl-Alt-Intel el pasado 2 de mayo, combina la explotación masiva con un implante poco habitual fuera del circuito ruso: AdaptixC2. Le adelanto la lectura: no es una campaña de cibercrimen oportunista, es tradecraft de Estado disfrazado de ruido.
El objetivo declarado de los atacantes son entidades gubernamentales y militares de Filipinas y Laos, dos piezas sensibles del tablero indo-pacífico. A esa lista se suma un racimo más pequeño pero significativo: managed service providers (MSPs) y empresas de hosting en Estados Unidos, Canadá y Sudáfrica. La elección de víctimas no es aleatoria. Quien ataca un MSP no busca al MSP: busca a sus clientes.
Anatomía del ataque: cómo se explota la vulnerabilidad cPanel para ciberespionaje
cPanel es la espina dorsal silenciosa de buena parte del hosting compartido en el mundo. Millones de dominios dependen de su panel para gestionar correo, bases de datos y certificados. Una zero-day en cPanel —y CVE-2026-41940 lo fue durante semanas antes de su parche— equivale a tener una llave maestra del edificio entero. El fallo permite ejecución remota de código sin autenticación previa, según la divulgación técnica que circula en los foros del oficio.
El vector que describe Ctrl-Alt-Intel es el clásico de las APT con presupuesto: escaneo masivo, identificación de servidores vulnerables, despliegue de payload y persistencia mediante backdoor. La diferencia está en lo que viene después. El implante elegido es AdaptixC2, un marco de mando y control de código abierto que se ha popularizado en los últimos dieciocho meses como alternativa a Cobalt Strike. Lo veo como una decisión deliberada de evadir las firmas que llevan años cazando Cobalt en redes occidentales.
Aquí está el matiz. AdaptixC2 permite a quien lo opera mimetizarse con el tráfico de cibercriminales comunes y dificultar la atribución. La elección del implante es, en sí misma, un acto de contrainteligencia. Quien sabe leer el oficio entiende que estamos ante un actor que ha estudiado a sus cazadores.
El primer hallazgo público de Ctrl-Alt-Intel sitúa la fecha de detección el 2 de mayo, pero la telemetría sugiere que la actividad lleva activa al menos desde mediados de abril. Tres semanas de ventaja son una eternidad en SIGINT.
Por qué Filipinas, Laos y los MSPs apuntan a un actor del Indo-Pacífico
Sigo desde hace años a los actores que operan en el Sudeste Asiático y la combinación de objetivos no admite muchas lecturas. Filipinas es hoy el aliado más expuesto de Washington frente a Pekín en el mar de China Meridional, con bases EDCA reactivadas y un flujo creciente de inteligencia compartida con la Séptima Flota. Laos, en cambio, es órbita de Pekín, lo que sugiere que el atacante busca información sobre las dos caras del tablero, no sobre una sola.
Los MSPs en Estados Unidos, Canadá y Sudáfrica encajan en la doctrina de supply chain que llevamos viendo desde la Operación Aurora y, sobre todo, desde SolarWinds. Comprometer un proveedor permite acceder lateralmente a decenas de clientes finales sin tener que reventar cada perímetro. La combinación de objetivos gubernamentales en Asia y MSPs en Norteamérica y Sudáfrica apunta a un actor con apetito amplio y mandato político claro.
No quiero adelantar atribución sin respaldo técnico cruzado. Pero la huella —objetivos, oficio, herramienta de evasión— recuerda mucho al modus operandi histórico de APT40 y APT41, ambos atribuidos al MSS chino. Mandiant y CrowdStrike llevan años documentando cómo estos grupos rotan entre objetivos de Estado y empresas privadas con interés estratégico. Que en este caso uno de los objetivos sea Laos —cliente diplomático de Pekín— complica la tesis y obliga a esperar más telemetría antes de afirmar nada.
Quien ataca un MSP no busca al MSP: busca a sus clientes, y por eso la supply chain sigue siendo el flanco más rentable del ciberespionaje contemporáneo.
Hay un dato adicional que merece foco. Ctrl-Alt-Intel ha documentado en paralelo el robo de 4,37 GB de datos del sector ferroviario chino mediante el mismo implante AdaptixC2. Que la herramienta aparezca a ambos lados del frente —contra Pekín y contra socios de Pekín— sugiere o bien dos actores distintos usando el mismo marco de código abierto, o bien una operación de bandera falsa cuidadosamente diseñada. La primera hipótesis es la más probable. La segunda, la más inquietante.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza es inequívoco: ciberataque por explotación de zero-day en cadena de suministro, con backdoor persistente y exfiltración de datos a infraestructura de mando y control. La elección de cPanel como puerta de entrada no es casualidad. Lo escribí hace años en El quinto elemento: el próximo 11S empezará con un clic, y empezará probablemente sobre un sistema que nadie consideraba crítico hasta que lo perdió.
En el reparto de agencias, el atacante apunta —con todas las cautelas— a un servicio del entorno chino, probablemente vinculado al MSS a través de contratistas conocidos. La defensa recae sobre los CERT nacionales de Filipinas (DICT-CERT), Laos, Canadá (CCCS), Estados Unidos (CISA) y Sudáfrica. Como tercero observador, los Five Eyes miran con especial atención al haberse comprometido MSPs en su propia jurisdicción. CISA ya ha emitido aviso técnico y Citizen Lab ha incorporado los indicadores de compromiso a su base pública. Más contexto sobre la familia de actores en la entrada de APT40 en Wikipedia.
El nivel de clasificación estimado del material exfiltrado es, a juzgar por la naturaleza de los objetivos militares y diplomáticos en Filipinas y Laos, equivalente a Secreto y Confidencial en la nomenclatura OTAN. Para los MSPs el grado dependerá de qué clientes finales tuvieran y de qué credenciales se hayan llevado los atacantes. Por ahora, sin atribución oficial.
Y aquí va mi lectura propia, que conecta con lo que esta redacción sigue de cerca para el lector español. El CCN-CERT lleva meses elevando el nivel de alerta sobre proveedores de hosting con presencia en Iberoamérica, donde los MSPs comprometidos en Norteamérica tienen filiales y contratos cruzados. Me consta por fuentes en La Moncloa que el equipo del CNI ha pedido a sus homólogos canadienses telemetría específica sobre las víctimas del CVE-2026-41940 con clientes en territorio español. La frontera digital ya no es bilateral.
El precedente que conviene recordar es Kaseya en 2021: un solo MSP comprometido derivó en mil quinientas empresas afectadas en una sola noche. Si la operación cPanel sigue ese patrón —y todo apunta a que sí—, el daño colateral no se medirá en las próximas horas, sino en los próximos meses, cuando aparezcan exfiltraciones laterales que hoy no podemos ver.
Quedan dos hitos por vigilar. El primero, el informe técnico ampliado que Ctrl-Alt-Intel publicará en las próximas semanas con la lista completa de indicadores. El segundo, la próxima reunión del grupo de trabajo de ciberseguridad de Five Eyes, donde la atribución podría dejar de ser hipótesis para convertirse en posición oficial. Hasta entonces, prudencia. El oficio enseña que las atribuciones rápidas envejecen mal.
El CNI no comenta. Como siempre.
