网站主机管理平台厂商cPanel于4月28日披露旗下管理软件cPanel及WHM（WebHost Manager）存在身份验证绕过漏洞CVE-2026-41940（CVSS风险评分为9.8分），由于该工具被众多网站托管公司广泛使用，影响范围极广。两天后，美国网络安全和基础设施安全局（CISA）证实该漏洞已被利用，随后有安全公司揭露勒索软件Sorry的活动，以及针对东南亚军事单位的攻击，如今又发现有人借此传播恶意程序。

中国安全公司奇安信指出，他们在5月4日发现有人利用CVE-2026-41940传播的新恶意程序，该载荷使用Go语言编写，嵌入了疑似由AI生成的大量土耳其语日志与消息，主要功能是将SSH公钥、恶意PHP和JavaScript代码植入cPanel系统，窃取登录凭证，并回传至攻击者控制的Telegram频道，最终部署名为Filemanager的远程控制木马。该公司进一步调查发现，该黑客组织的活动最早可追溯至2020年，已将其命名为Mr_Rot13进行追踪。

Filemanager是一款跨平台远程控制木马，支持Windows、macOS和Linux三大操作系统，具备多种功能。一旦运行，它会监听指定端口，并根据特定参数识别来自攻击者的指令，使攻击者能够通过网页界面远程控制受感染的cPanel系统。