Lỗ hổng này thực tế đã bị khai thác từ tháng 2/2026 dưới dạng zero-day trước khi thông tin được công bố. Khi mã khai thác (PoC) bị phát tán công khai, các chiến dịch quét và tấn công tự động nhanh chóng bùng nổ, ảnh hưởng tới hàng chục nghìn hệ thống trên toàn cầu.
Vấn đề nằm ở việc lỗ hổng cho phép bỏ qua xác thực và chiếm quyền root, đồng nghĩa với việc kẻ tấn công có thể J881 ưu đãi hấp dẫn hoàn toàn máy chủ hosting.
Cụ thể, sự xuất hiện của nhóm tin tặc Mr_Rot13 cho thấy dấu hiệu của một chiến dịch có tổ chức và mục tiêu rõ ràng. Nhóm này không chỉ khai thác lỗ hổng để xâm nhập, mà còn triển khai hàng loạt kỹ thuật nhằm duy trì quyền truy cập lâu dài. Chúng cài đặt SSH key trái phép, sử dụng webshell làm kênh dự phòng, đồng thời chỉnh sửa giao diện đăng nhập để âm thầm thu thập thông tin tài khoản quản trị.
Bên cạnh đó, các backdoor đa nền tảng được cài đặt cho phép điều khiển hệ thống từ xa một cách linh hoạt. Hoạt động tấn công cũng được tự động hóa ở quy mô lớn, với hàng nghìn địa chỉ IP tham gia trên toàn cầu.
Mã JavaScript được chèn vào (Ảnh: xlab)
Điều này cho thấy tin tặc không còn dừng ở phá hoại hay kiếm lợi ngắn hạn, mà đang chuyển sang duy trì truy cập, theo dõi và khai thác dữ liệu dài hạn. Đây là đặc trưng điển hình của các chiến dịch APT hoặc gián điệp mạng.
Quản lý từ xa các hệ thống bị xâm nhập thông qua trang web (Ảnh: Xlab)
Lỗ hổng này hiện đã trở thành một phần của chiến dịch tấn công nhiều giai đoạn trên quy mô toàn cầu, nhắm trực tiếp vào hạ tầng hosting. Với mức độ phổ biến của cPanel, nguy cơ ảnh hưởng đến website, email và dữ liệu J881.love nhà cái bóng đá world cup là rất lớn.
Đáng chú ý, Đông Nam Á, bao gồm Việt Nam đã nằm trong danh sách mục tiêu. Do đó, các tổ chức cần coi đây là sự cố đang diễn ra, chủ động kiểm tra log, rà soát truy cập bất thường và thay đổi toàn bộ thông tin xác thực nếu từng chậm vá.
Trọng tâm hiện nay không chỉ là cập nhật, mà là xác định hệ thống đã bị xâm nhập hay chưa.
