WP-SHELLSTORM: веб-шеллы и эксплойты для WordPress и Java
11 июня 2026 года эксперты по кибербезопасности обнаружили масштабную вредоносную операцию, получившую название WP-SHELLSTORM. Кампания нацелена на приложения под управлением WordPress и Java-микросервисы, включая Apache Nacos, XXL-Job и Spring Boot, и представляет собой финансово мотивированную угрозу, а не спонсируемую государством активность. Технический уровень злоумышленников оценивается как средний и высокий.
Как начиналось расследование
Точкой входа для анализа стал открытый каталог на виртуальном частном сервере (VPS), расположенном в США. Там хранились веб-шеллы, скрипты эксплойтов и конфигурации управляющих серверов (C2). Исследование показало, что для поиска целей атакующие активно применяют поисковую систему FOFA — китайский аналог Shodan. Этот маркер, наряду с другими косвенными уликами, позволил предположить, что операторы действуют из Китая.
Арсенал и тактика: эшелонированная обфускация
Злоумышленники применяют комплексную многоуровневую стратегию выполнения команд с использованием продвинутых веб-шеллов. Ключевой инструмент — обфусцированный скрипт down.php, который дает полный контроль над скомпрометированной средой:
- управление файловой системой;
- динамическое исполнение PHP-кода;
- удалённый доступ через встроенный модуль VShell.
Модуль VShell специально маскируется под легитимный поток ядра, чтобы избежать обнаружения. Дополнительный дроппер SNOWLIGHT отвечает за извлечение и доставку финальных полезных нагрузок.
Отдельного внимания заслуживает эксплуатация уязвимости CVE-2021-29441 в Apache Nacos. Она позволяет злоумышленникам обходить аутентификацию и похищать учётные данные прямо из конфигураций микросервисов.
Финансовый след и охота за данными
Кампания носит ярко выраженный финансовый характер. Ещё в мае 2026 года, до основного всплеска, атаке подверглись 11 организаций из секторов финтеха и электронной коммерции. Были похищены конфигурационные файлы, содержащие чувствительную информацию: учётные данные облачных провайдеров и секреты JSON Web Token (JWT).
Избирательная эффективность
Успешность атак WP-SHELLSTORM заметно варьировалась в зависимости от эксплуатируемой уязвимости и уровня защиты цели.
- Уязвимость в плагине Breeze Cache Cleaner позволила закрепиться примерно в 17 000 случаях из более чем 45 000 потенциальных целей — высокая доля подтверждённых веб-шеллов.
- Эксплуатация уязвимости в Joomla охватила свыше 560 000 целей, но конечная конверсия оказалась значительно ниже, что демонстрирует прямую зависимость эффективности от ландшафта уязвимостей и уровня установки обновлений.
Проколы в операционной безопасности
Несмотря на сложный инструментарий, операторы проявили неожиданную беспечность. В публичном доступе остались журналы и идентифицируемая информация, что существенно упростило отслеживание их действий. Этот контраст между продвинутыми техническими приёмами и слабой операционной гигиеной ставит под вопрос общую дисциплину группировки.
Несмотря на использование сложных инструментов, злоумышленники не смогли достаточно скрыть свою деятельность, что вызывает вопросы об их тщательности в поддержании операционной анонимности.
Срочные меры защиты
Организациям, использующим WordPress, Joomla или опирающимся на Java-микросервисы, рекомендуется немедленно выполнить следующие шаги:
- заблокировать известные вредоносные IP-адреса, связанные с кампанией;
- провести сканирование на наличие характерных шаблонов веб-шеллов, включая сигнатуры down.php и VShell;
- включить мониторинг необычных имён процессов, маскирующихся под системные потоки;
- поддерживать программное обеспечение в актуальном состоянии, особенно компоненты Apache Nacos, XXL-Job, Spring Boot, плагины кэширования WordPress и ядро Joomla, чтобы минимизировать поверхность атаки.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



