Uma vulnerabilidade grave no plugin Sneeit Framework, amplamente usado em sites WordPress, está sendo explorada ativamente por cibercriminosos. Segundo a Wordfence, a falha identificada como CVE-2025-6389, com pontuação CVSS de 9.8, permite execução remota de código (RCE) e afeta todas as versões anteriores à 8.4, totalizando mais de 1.700 instalações ativas. A correção foi disponibilizada em 5 de agosto de 2025, com o lançamento da atualização 8.4.
A exploração ocorre devido ao uso inseguro da função sneeit_articles_pagination_callback(), que repassa entradas do usuário para call_user_func(). Esse cenário permite que invasores não autenticados executem funções PHP arbitrárias, incluindo wp_insert_user(), criando contas administrativas fraudulentas e assumindo o controle total do site. Uma vez dentro, os agentes maliciosos conseguem injetar códigos que redirecionam visitantes para páginas fraudulentas, malware e campanhas de spam.
Os ataques começaram no mesmo dia em que a vulnerabilidade foi divulgada publicamente, em 24 de novembro de 2025. Desde então, a Wordfence afirma ter bloqueado mais de 131 mil tentativas de exploração, sendo 15.381 apenas nas últimas 24 horas.
Entre os métodos identificados estão requisições manipuladas para o endpoint /wp-admin/admin-ajax.php com o objetivo de criar usuários falsos — como o perfil “arudikadis” — e enviar arquivos PHP maliciosos, como tijtewmg.php. Esses scripts funcionam como backdoors, permitindo ler, editar e excluir arquivos, escanear diretórios e extrair ZIPs. Outras variantes observadas incluem xL.php, Canonical.php, .a.php e simple.php. O shell xL.php, por exemplo, é baixado através de up_sf.php, que também recupera um arquivo .htaccess do domínio racoonlab[.]top, garantindo execução de scripts até em pastas restritas.
ICTBroadcast também é explorado para distribuir botnet Frost
Paralelamente, pesquisadores da VulnCheck emitiram alerta sobre ataques ativos explorando a vulnerabilidade CVE-2025-2611 no sistema ICTBroadcast. Os operadores estão usando o exploit para baixar um shell script responsável por instalar diferentes versões do binário Frost, compatível com múltiplas arquiteturas.
Cada variante é executada e posteriormente removida — junto ao stager — para dificultar a investigação forense. O Frost reúne ferramentas de DDoS e mecanismos avançados de propagação, utilizando 14 exploits que cobrem 15 CVEs.
De acordo com o pesquisador Jacob Baines, o Frost atua de forma seletiva e inteligente:
“O operador não dispara exploits indiscriminadamente pela internet. O Frost verifica primeiro as condições do alvo e só continua se encontrar exatamente os indicadores que espera.”
Um exemplo dessa lógica: a exploração da CVE-2025-1610 só ocorre quando duas solicitações HTTP consecutivas retornam as strings “Set-Cookie: user=(null)” e “Set-Cookie: user=admin”. Caso contrário, o malware permanece inativo.
Os ataques recentes têm origem no IP 87.121.84[.]52. Embora diversas botnets já tenham utilizado vulnerabilidades semelhantes, esta campanha chama atenção por ser mais direcionada e enxuta, já que menos de 10 mil sistemas vulneráveis estão expostos. Isso sugere que o grupo responsável é pequeno, mas possui ferramentas adicionais além das que foram encontradas no binário Frost.
