HoneyLabs atribuye a un único operador la mayor parte de los ataques registrados contra la vulnerabilidad CVE-2026-4020, un fallo de divulgación de información en el plugin Gravity SMTP para WordPress que devuelve credenciales SMTP, claves de SendGrid y Mailgun y tokens DKIM sin autenticación. De las 566 direcciones IP que sus sensores detectaron explotando el error, 561 (el 99,1 %) comparten la misma huella JA4H, lo que reduce la campaña a un solo cliente que acumula 480.973 peticiones desde 3.158 IPs en 92 redes y 43 países desde el 19 de febrero.
El operador oculta la actividad rotando 3.299 cadenas de user-agent con navegadores obsoletos y repartiendo el tráfico entre 92 redes distintas, de modo que un bloqueo por IP resulta inútil. El 87 % del tráfico procede de Google Cloud (AS396982), con miles de instancias efímeras en al menos diez países, lo que apunta a una flota alquilada, no a un botnet de routers comprometidos. Las peticiones no buscan exploits, sino archivos de secretos: .env, .git/config, credenciales en la nube, tfstate de Terraform, endpoints /actuator de Spring Boot y, en 4.128 casos, la API de Ollama en el puerto 11434, entre más de 36.000 puertos escaneados.
La huella JA4H ge11nn0500_9af7e0472034 se convierte así en el identificador fiable de la campaña, frente a IP y user-agent. HoneyLabs recomienda actualizar Gravity SMTP a 2.1.5, retirar de internet los archivos sensibles y rotar cualquier credencial expuesta durante la ventana de junio.