Um grupo cibercriminoso deixou um dos próprios servidores totalmente aberto na internet por três semanas, e isso expôs o funcionamento interno da operação: as ferramentas de ataque, os registros de atividade e listas de alvos com mais de 1,4 milhão de sites.
Muito menos foram realmente invadidos, mas os arquivos expostos mostraram aos pesquisadores como uma operação de invasão em massa de sites funciona por dentro.
A operação, agora rastreada como WP-SHELLSTORM, é o que a SOCRadar (plataforma de inteligência de ameaças) chama de corretagem de acesso via webshell: um grupo que invade sites em escala, instala uma porta de entrada oculta (um "webshell") em cada um e revende esse acesso.
A atividade mais intensa atingiu sites WordPress com plugins desatualizados. Se você roda WordPress ou Joomla, as duas falhas mais relevantes estavam no plugin de cache Breeze e no editor JCE do Joomla; vá direto para a lista de verificação abaixo se esse for o seu caso.
Um servidor esquecido
Duas equipes analisaram a mesma pasta exposta. A equipe de inteligência de ameaças da SOCRadar a identificou em 11 de junho de 2026, em um servidor alugado nos Estados Unidos, no endereço 137.175.93[.]126, sem nenhuma senha de proteção. Dentro havia cerca de 800 MB distribuídos em 434 arquivos: webshells, scripts de exploração, resultados de varredura, o histórico de comandos digitado pelo operador e configurações de comando e controle.
A Ctrl-Alt-Intel também havia analisado o mesmo diretório, depois de encontrá-lo na plataforma de diretórios abertos da Hunt.io, e publicou sua análise em 22 de junho, semanas antes do relatório da SOCRadar, divulgado em 9 de julho. A exposição aconteceu por um deslize básico: o operador iniciou um servidor web simples em Python para mover arquivos e o deixou rodando por 22 dias.
O grupo se aproveitou de falhas já conhecidas em plugins de sites, a maioria no WordPress, e montou scanners automatizados para disparar essas explorações contra listas massivas de alvos extraídas do FOFA, um mecanismo de busca chinês para sistemas conectados à internet, parecido com o Shodan.
Quando um site rodava uma versão vulnerável, a exploração conseguia enviar um webshell: um pequeno script que permite ao atacante executar comandos no servidor a partir de qualquer lugar, ler arquivos, roubar senhas e avançar mais fundo na rede.
O kit de ferramentas abrangia 27 falhas conhecidas, embora poucas tenham feito a maior parte do trabalho. A maior produtora foi uma falha no plugin de cache Breeze (CVE-2026-3844, identificador de Vulnerabilidades e Exposições Comuns), que o grupo disparou contra mais de 45 mil alvos e, segundo seu próprio controle, instalou backdoors em mais de 17 mil deles.
Há um porém: ela só funciona quando uma configuração fora do padrão, "Host Files Locally – Gravatars", está ativada, então a maioria das instalações do Breeze nunca esteve exposta.
Os números, em termos simples
O número de destaque precisa de um alerta. A contagem de 1,4 milhão é de quantos domínios estavam nas listas de alvos, não de quantos foram invadidos, e essas listas abrangiam WordPress, Joomla e outras plataformas. O maior arquivo era uma lista com 587.034 alvos do Joomla.
O número de fato comprometido foi bem menor, e as duas equipes de pesquisa o mensuraram de formas diferentes: a contagem deduplicada da Ctrl-Alt-Intel identificou 25.195 sites com evidências confirmadas ou validadas de comprometimento, enquanto a SOCRadar, contando webshells ativos, estimou o número em mais de 5.700.
Uma falha mostra bem essa diferença: uma vulnerabilidade no Joomla foi disparada contra mais de 560 mil alvos, mas atingiu apenas 77 deles.
Estar na lista de varredura de alguém não é a mesma coisa que ter sido hackeado. Lembre-se disso sempre que um relatório começar com um número assustador de alvos.
As ferramentas e uma campanha anterior
O backdoor principal, um arquivo chamado down.php, era fortemente ofuscado, com quatro camadas, e parece derivar de um webshell chinês de código aberto chamado BestShell. Uma vez em execução, ele podia gerenciar arquivos, rodar comandos, abrir shells reversos, escanear a rede e verificar qual software de segurança o host estava rodando.
Para o próprio acesso remoto, o grupo usou um dropper chamado SNOWLIGHT para instalar o VShell, um backdoor furtivo que disfarça seu nome de processo como [kworker/0:2] para se misturar com threads do kernel na lista de processos.
Essas duas ferramentas têm um histórico: em abril de 2025, a Sysdig associou essa cadeia SNOWLIGHT para VShell ao suposto grupo estatal chinês UNC5174, atividade que o THN (The Hacker News) cobriu na época. O VShell, porém, é uma ferramenta comum em círculos criminosos de língua chinesa, então sua presença, por si só, não aponta para um ator estatal.
O servidor também guardava vestígios de um trabalho anterior, bem diferente. A SOCRadar descobriu que, antes da ruidosa investida contra WordPress, o mesmo grupo conduziu uma campanha mais discreta no início de maio de 2026 contra sistemas Java corporativos. Foram extraídos 613 arquivos de configuração de 11 sistemas em nove empresas de fintech, e-commerce, logística, jogos eletrônicos e eletrônicos.
O material incluía chaves de login em nuvem para AWS (Amazon Web Services), Alibaba Cloud, Oracle, Tencent e DigitalOcean, senhas de banco de dados e chaves privadas RSA do Alipay. A operação se apoiou em uma falha antiga e bem conhecida no Nacos, um servidor de configuração (CVE-2021-29441), que permite ao atacante pular o login falsificando um único cabeçalho web.
A SOCRadar interpreta a cronologia como uma sequência: primeiro capturar credenciais corporativas de alto valor e, semanas depois, migrar para o trabalho de instalação de backdoors em maior volume, uma espécie de rodada de financiamento antes de crescer.
Operação desleixada
As duas equipes avaliam, com confiança média a alta, que o operador é chinês ou falante de chinês. Elas apontam o Chinês Simplificado fluente presente em todo o código e no histórico de comandos, a dependência do FOFA (que, segundo os pesquisadores, exige um número de telefone chinês para se cadastrar) e as ferramentas Godzilla e VShell, preferidas em fóruns de língua chinesa.
A SOCRadar vai além e interpreta o grupo como motivado financeiramente, e não orientado por um Estado. Nomes nos arquivos (tance, chen-kk, chenyk) são tratados como pistas soltas, não como prova. Uma ponta solta chama a atenção: um único endereço IP em Taiwan fez mais de 42 mil requisições baixando as ferramentas do próprio grupo. Pode ser um segundo operador, um cliente ou outro pesquisador. Os logs não permitem resolver isso.
Para um grupo que opera um kit de ferramentas genuinamente capaz, a operação foi descuidada. Deixou o servidor aberto, deixou um arquivo de configuração do FOFA que o próprio FOFA consegue rastrear por seu canal com a polícia, e deixou um histórico de comandos sem edição que entregou todo o esquema. Quando finalmente percebeu que tinha sido identificado, entre 2 e 4 de julho, apagou um lote de linhas de log. Três semanas atrasado.
O tropeço é familiar. Em março de 2026, a mesma equipe de pesquisa pegou o Fancy Bear (APT28, grupo de Ameaça Persistente Avançada ligado à Rússia) da mesma forma: um diretório aberto esquecido vazou as ferramentas de phishing e os logs do grupo, em uma campanha que a Hunt.io chamou de Operação Roundish.
O que fazer agora
Se você roda algum dos softwares atacados, verifique ainda hoje. Não se trata de falhas obscuras: duas delas estão sob exploração ativa em outros lugares.
A Wordfence acompanhou dezenas de milhares de ataques bloqueados contra a falha do Everest Forms Pro (CVE-2026-3300) nesta primavera, e a falha do JCE do Joomla (CVE-2026-48907) é uma vulnerabilidade de gravidade máxima que a CISA (Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos) incluiu em sua lista de Vulnerabilidades Exploradas Conhecidas.
- WordPress e Joomla, primeiro: corrija o Breeze (CVE-2026-3844, corrigido na versão 2.4.5) se a configuração fora do padrão "Host Files Locally – Gravatars" estiver ativada; foi o que mais produziu backdoors aqui. Trate também a falha do JCE do Joomla (CVE-2026-48907, corrigida na 2.9.99.5) como urgente, já que é de gravidade máxima e está na lista de vulnerabilidades exploradas da CISA, mesmo tendo rendido pouco nesta campanha.
- WordPress e Joomla, também verifique: ThemeREX Addons (CVE-2026-1969), Simple File List (CVE-2020-36847), Custom CSS JS PHP (CVE-2026-6433), BerqWP (CVE-2025-7443), uploads do Ninja Forms (CVE-2026-0740), WavePlayer (CVE-2025-12057), WPBookit (CVE-2025-7852) e WP File Manager (CVE-2020-25213). Os dois relatórios listam o Simple File List sob o CVE-2025-34085, uma duplicata já rejeitada; o identificador válido é CVE-2020-36847.
- Nacos: atualize para a versão 2.2.1 ou posterior e ative a autenticação (nacos.core.auth.enabled=true). Se sua instância já esteve exposta, troque todas as credenciais que estavam lá, não apenas as óbvias.
- XXL-Job e Spring Boot: feche endpoints de executor sem autenticação e desative o /actuator/heapdump em produção.
- Procure pelos backdoors: pesquise pelos padrões de nome de webshell do grupo, como .bd.php, .wp-log.php e .brq-*.php. Em seguida, verifique processos com nome [kworker/X:Y]. Uma thread de kernel real não executa nenhum programa próprio, então seu /proc/<pid>/exe aponta para nada. Ela também não tem linha de comando nem soquetes de rede. Um [kworker] que apresente qualquer um desses elementos é um impostor. Bloqueie a infraestrutura conhecida: 137.175.93[.]126, 43.108.17[.]80 e o domínio xs.xxooonline[.]eu[.]cc.
O que torna a WP-SHELLSTORM digna de atenção não é o quanto ela é avançada, mas o quanto é comum. Explorações públicas, varreduras automatizadas e uma lista de alvos com um milhão de linhas bastaram para comprometer sites em escala, sem necessidade de zero-day. Os detalhes só são públicos porque o grupo esqueceu de fechar o próprio servidor.
O The Hacker News entrou em contato com a SOCRadar para obter mais detalhes sobre as conclusões e atualizará esta matéria com qualquer resposta.