Un análisis forense sobre el cierre del plugin wp-advanced-math-captcha en el repositorio de WordPress.org destapó una operación de backdoor activa desde 2013 vinculada a la marca SiteGuarding. El equipo de revisión eliminó un archivo .dat de 7 KB dentro del plugin; al decodificarlo, se descubrió un dropper en PHP que instalaba una puerta trasera llamada siteguarding_tools.php en el raíz de WordPress y notificaba a apitest.siteguarding.com. El plugin, con unas 6.000 instalaciones activas, distribuía así una herramienta de acceso remoto.
La investigación siguió el rastro hasta un segundo plugin, image-optimizer-x, que contenía dos claves RSA privadas embebidas y contactaba con api.cmsplughub.com. Una consulta DNS reveló que ese dominio usaba los mismos servidores de nombres y dirección IP que SiteGuarding, alojado en server2.siteguarding.com, lo que conectó ambas piezas. Se identificó un catálogo de 27 plugins publicados entre 2013 y 2020 bajo cuentas anónimas (@siteguarding, @lulub5592, @dalielsam), todos cerrados por WordPress.org entre mayo y junio de 2020. Quince de ellos incluían el mismo backdoor inline con hash MD5 idéntico; el resto se comunicaba con siteguarding.com de forma silenciosa. El plugin estrella wp-antivirus-site-protection, con más de 4.000 instalaciones, telefoneaba a casa desde 2014.
Los tres enlaces entre las cuentas —el backdoor compartido, el plugin objetivo hardcodeado y la infraestructura DNS común, junto con el cierre coordinado de las cuentas burner en abril de 2026— apuntan a un único operador que usó 19 cuentas durante trece años. Búsquedas sistemáticas posteriores añadieron seis plugins burner adicionales y luego nueve más, ampliando la operación.
