El patrón feo de esta mañana es confianza bajo presión: paneles de hosting, plataformas educativas, apps de chat y protección endpoint se volvieron palancas en cuanto lo familiar se confundió con lo seguro.
Clave: Parchee cPanel ya, trate los datos ligados a Instructure como potencialmente expuestos, desconfíe de Mini Apps de Telegram que piden depósitos o APKs, y verifique la salud de certificados Defender si su flota Windows recibió alertas el 3 de mayo.
La CVE-2026-41940 en cPanel y WHM ya se explota de forma masiva. BleepingComputer informa que al menos 44.000 IPs con cPanel fueron comprometidas en ataques en curso, que luego derivaron rápidamente en despliegues del ransomware Linux "Sorry", escrito en Go, que añade .sorry a los archivos cifrados.
Instructure confirmó que se robaron datos de usuarios en el ataque cibernético que reveló el viernes. La empresa dice que la información expuesta incluye nombres, correos, números de estudiante y mensajes entre usuarios de instituciones afectadas. Hasta ahora no encontró evidencia de contraseñas, fechas de nacimiento, identificadores gubernamentales o datos financieros, pero el blast radius puede seguir siendo enorme si ShinyHunters tiene siquiera parte de razón.
Investigadores de CTM360 afirman que la operación FEMITBOT usa bots de Telegram más Mini Apps para suplantar marcas, mostrar balances falsos, empujar depósitos y, en algunos casos, distribuir APKs Android disfrazados de apps legítimas. El truco funciona porque el flujo de phishing nunca sale de Telegram y por eso parece normal.
Una actualización de firmas de Defender marcó certificados raíz legítimos de DigiCert como Trojan:Win32/Cerdigent.A!dha y en algunos sistemas los eliminó del trust store de Windows. Microsoft afirma que el problema quedó corregido desde Security Intelligence 1.449.430.0, pero este tipo de error defensivo rompe cadenas de confianza en silencio mientras los equipos persiguen fantasmas.
En resumen: El fallo común de hoy es la confianza mal colocada en infraestructura familiar. Los atacantes la explotaron en cPanel y Telegram, y los defensores tropezaron con ella en el manejo de certificados. Los equipos que verifiquen sus supuestos más rápido sufrirán menos daño.
KENSAI ayuda a mapear paneles expuestos, dependencias SaaS, superficies de phishing y puntos ciegos de cadenas de confianza antes de que se conviertan en incidentes.
Iniciar escaneo gratuito →Manténganse afilados.
🗡️ Equipo de Seguridad KENSAI