WP-SHELLSTORM, Hacker-Angriff

WP-SHELLSTORM: Hacker-Angriff kompromittiert 25.000 Websites

Veröffentlicht: 11.07.2026 um 22:58 Uhr, Redaktion boerse-global.de

Eine Cyberkampagne kompromittiert tausende Websites. Die Täter entlarvten sich selbst durch einen ungeschützten Server.

WP-SHELLSTORM: Hacker legen 25.000 Websites durch Anfängerfehler lahm
Digitales Vorhängeschloss-Symbol über abstraktem Netzwerk aus leuchtenden Linien, symbolisiert Cybersicherheit und Datenschutz. Illustration mit AI erstellt übermittelt durch boerse-global.de

000 Websites weltweit kompromittiert – und das ausgerechnet durch einen Anfängerfehler der Täter.

Sicherheitsforscher der Firmen SOCRadar und Ctrl-Alt-Intel sind auf eine groß angelegte Cyberkampagne gestoßen, die unter dem Namen WP-SHELLSTORM läuft. Die Angreifer haben es vor allem auf populäre Content-Management-Systeme wie WordPress und Joomla abgesehen. Ihr Geschäftsmodell: Sie verkaufen den Zugang zu gekaperten Websites an andere Kriminelle.

Peinlicher Patzer entlarvt die Hacker

Die Entdeckung der Operation verdankt sich einem schwerwiegenden Fehler der Angreifer selbst. Sie ließen einen Python-basierten Befehlsserver 22 Tage lang ungeschützt im Netz stehen. Am 11. Juni 2026 stießen die Forscher auf den offenen Server und sicherten rund 800 Megabyte interne Daten – darunter Werkzeuge, Logs und umfangreiche Ziellisten.

Die Auswertung der Protokolle zeigt das erschreckende Ausmaß: Die WP-SHELLSTORM-Betreiber scannten rund 1,4 Millionen Domains. Zwar führten die meisten Scans zu keinem Einbruch, doch Ctrl-Alt-Intel bestätigte 25.195 erfolgreiche Kompromittierungen. SOCRadar identifizierte zudem mehr als 5.700 aktive Hintertüren, die noch immer auf den Opfer-Seiten installiert sind.

Diese Sicherheitslücken wurden ausgenutzt

Die Angreifer setzten auf eine Handvoll kritischer Sicherheitslücken. Der größte Erfolg gelang ihnen mit einer Schwachstelle im Breeze-Caching-Plugin für WordPress (CVE-2026-3844). Damit installierten sie mehr als 17.000 Hintertüren.

Anzeige

Immer mehr Unternehmen werden Opfer von Cyberangriffen wie WP-SHELLSTORM – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Proaktive Schutzmaßnahmen jetzt entdecken

Auch Joomla-Websites waren betroffen: Hier nutzten die Hacker eine Lücke im JCE-Editor (CVE-2026-48907). Nach dem Einbruch platzierten sie verschiedene Webshells, um die Kontrolle dauerhaft zu behalten. Sicherheitsfirmen identifizierten mehrere Indikatoren für Kompromittierungen – darunter Dateien mit Namen wie .bd.php, .wp-log.php und Skripte nach dem Muster .brq-*.php. Besonders perfide: Die Angreifer tarnten ihre Aktivitäten auf infizierten Systemen als legitime Linux-Prozesse („kworker“).

Wer steckt dahinter?

Die Spuren auf dem freigelegten Server deuten auf chinesischsprachige Täter hin, die aus finanziellen Motiven handeln. Die Gruppe agiert offenbar als Zugangsvermittler – sie verkauft die Kontrolle über kompromittierte Websites an andere Cyberkriminelle weiter.

Doch das ist nicht alles: Der Server enthielt auch Hinweise auf eine frühere Kampagne gegen den Nacos-Dienst (CVE-2021-29441). Damals stahlen die Angreifer 613 Konfigurationsdateien von elf Systemen aus neun Unternehmen. Diese Dateien enthielten sensible Cloud-Zugangsdaten für Plattformen wie Amazon Web Services, Oracle, Alibaba, Tencent und DigitalOcean.

Warnung auch aus Australien

Die Aufdeckung von WP-SHELLSTORM fällt mit einer breiter angelegten Warnung des Australian Cyber Security Centre (ACSC) zusammen. Die Behörde veröffentlichte bereits den zweiten Alarm innerhalb von zwei Monaten zur Ausnutzung ungepatchter CMS-Sicherheitslücken.

Anzeige

Neue Sicherheitslücken und KI-gestützte Angriffe stellen Unternehmen vor immer größere Herausforderungen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um ihre IT-Infrastruktur abzusichern. Kostenlosen Security-Report herunterladen

Das ACSC identifizierte eine groß angelegte Kampagne, die insgesamt 17 verschiedene Schwachstellen in mehreren Plattformen angreift. Neben den bereits genannten WordPress- und Joomla-Lücken sind auch Exploits gegen Craft CMS (CVE-2025-32432), GutenKit, Hunk Companion, MaxSite CMS und MetInfo CMS aktiv.

Was Website-Betreiber jetzt tun müssen

Sicherheitsexperten raten dringend zu folgenden Maßnahmen:

  • Alle Plugins und Themes sofort aktualisieren
  • Verzeichnisse auf nicht autorisierte PHP-Dateien überprüfen
  • Web Application Firewalls (WAF) einsetzen, um die laufenden Scan- und Exploit-Versuche abzuwehren

Die Gefahr ist real und aktuell. Wer seine Website nicht schützt, riskiert nicht nur den eigenen Datenverlust, sondern wird womöglich Teil eines kriminellen Netzwerks, das im Verborgenen operiert.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69748058 |