- Advertisement -spot_img

Presuntos piratas informáticos alineados con China explotan las fallas de Roundcube contra las universidades

Se ha observado que un grupo de actividad de amenazas presuntamente alineado con China explota el software de correo web Roundcube perteneciente a los departamentos de física e ingeniería de universidades de EE. UU. y Canadá como parte de una nueva campaña.

La actividad implica la explotación de fallas de seguridad críticas ahora parcheadas en la solución de correo electrónico de código abierto, como CVE-2024-42009 (puntaje CVSS: 9.3), para desviar credenciales, seguido de la implementación de un shell web para acceso persistente o una conocida herramienta posterior a la explotación llamada VShell.

Proofpoint está rastreando el grupo de amenazas emergentes bajo el nombre UNK_MassTraction. Se detectó por primera vez en mayo de 2026, centrándose específicamente en administradores y profesores de departamentos con vínculos de seguridad nacional o entidades que estudian astrofísica y física de partículas.

“Los correos electrónicos dirigidos a departamentos universitarios utilizaron remitentes comprometidos, así como dominios abusados ​​y vulnerables a la suplantación de identidad debido a la política laxa de DMARC para enviar los correos electrónicos”, escribió la compañía de seguridad empresarial en un informe técnico compartido con The Hacker News, añadiendo que el uso de señuelos genéricos indica una “franja de objetivos más amplia” más allá de su visibilidad.

Si bien la naturaleza del exploit de secuencias de comandos entre sitios (XSS) es tal que solo requiere que el destinatario abra el correo electrónico en el cliente Roundcube para obtener acceso al servidor de correo, se evaluó que los departamentos objetivo fueron seleccionados porque todos ejecutaban versiones de Roundcube susceptibles a fallas de seguridad de N días.

Esto indica que el actor de amenazas probablemente llevó a cabo un reconocimiento preparatorio de estos objetivos para recopilar información sobre sus entornos antes de enviar correos electrónicos de phishing que desencadenan un exploit para CVE-2024-42009 y ejecutan código JavaScript arbitrario en el contexto del navegador web de la víctima.

LEER  Los hackers explotan la falla del servidor Apache HTTP para implementar el minero de criptomonedas de Linuxsys

“Es probable que el actor esté abusando de los servidores Roundcube como punto de pivote para ingresar a las redes objetivo, y los operadores han diseñado deliberadamente su cadena de infección para evitar la detección”, dijeron los investigadores de Proofpoint Greg Lesnewich y Mark Kelly.

La carga útil entregada tras la explotación de la falla XSS, cuyo nombre en código es IceCube, está diseñada para desviar información de credenciales almacenada en el navegador junto con autenticación de dos factores (2FA) y cookies. También lleva a cabo su propio reconocimiento para recopilar información sobre el idioma del navegador, el tamaño de la pantalla y los valores de los campos del formulario. tamaño de pantalla y valores de campo de formulario.

La información recopilada se envía a un sistema externo mediante una solicitud HTTP POST. En el siguiente paso, IceCube aprovecha el token CSRF de la sesión para convertir en arma una segunda falla de ejecución remota de código posterior a la autenticación en Roundcube: CVE-2025-49113 (puntuación CVSS: 9,9), con el objetivo de obtener un punto de apoyo en el servidor de correo y colocar VShell o un shell web denominado SquareShell en la memoria.

El shell web, implementado mediante un comando de shell de gadget PHP, es accesible de forma remota en el punto final “plugins/newmail_notifier/mail_preview.php” y permite la ejecución de código arbitrario. Sin embargo, si la instalación del shell web falla por algún motivo, la cadena de ataque recurre a un mecanismo alternativo en el que se ejecuta un script de shell a través de la vulnerabilidad Roundcube para finalmente entregar VShell.

Se dice que el método secundario se introdujo en junio de 2026, cuando anteriormente la cadena de ataque simplemente saldría al no implementar SquareShell. El script de shell actúa como conducto para un cargador ELF denominado SNOWLIGHT y se ha utilizado en otras intrusiones orquestadas por adversarios chinos. El uso de SNOWLIGHT y VShell se ha vinculado a un clúster vinculado a China rastreado como UNC5174 en el pasado.

LEER  Malware de public y pubshell utilizado en el ataque específico del Tíbet de Mustang Panda

Esto sugiere que el script de shell posiblemente sea compartido por múltiples clústeres de China-nexus a título privado, similar a ShadowPad y otras herramientas. La principal responsabilidad del script es buscar una versión de SNOWLIGHT que sea compatible con la arquitectura del sistema del host y luego ejecutarla.

“IceCube también establece lo que llama ‘desencadenantes diferidos’ para garantizar la continuidad de la cadena de infección”, afirmó Proofpoint. “Los activadores diferidos monitorean si el usuario cierra la página o cambia de pestaña, verifica si el mouse sale de la ventana del navegador y secuestra el botón de cerrar sesión”.

“Si se toma alguna de esas acciones, IceCube engancha esos eventos y vuelve a intentar la explotación de CVE-2025-49113, y señala al C&C (comando y control) que el usuario abandonó la sesión de Roundcube”.

Al completar estas acciones o agotar el tiempo de espera, el malware JavaScript destruye las sesiones iniciadas por el usuario y el malware en el servidor, lo que hace que el usuario cierre la sesión y borre la evidencia forense asociada con el compromiso del servidor Roundcube.

Escrito en Go, VShell es una herramienta de administración remota que proporciona capacidades posteriores al compromiso similares a Cobalt Strike. Ha sido utilizado por varios adversarios alineados con China en los últimos años.

Este hecho marca la primera vez que un grupo de piratas informáticos chino se vincula a la explotación de las fallas de Roundcube, de las que tradicionalmente han abusado los actores de amenazas patrocinados por el estado de Rusia.

“Si bien el objetivo de esta campaña cautiva la imaginación, es poco probable que UNK_MassTraction resuelva profundas cuestiones de física teórica o la paradoja de Fermi en un futuro próximo”, concluyeron los investigadores de Proofpoint.

LEER  El hacker iraní se declara culpable en un ataque de ransomware Robbinhood de $ 19 millones contra Baltimore

“UNK_MassTraction mostró un conjunto de herramientas maduro y un uso único de las vulnerabilidades de n días. La campaña es un recordatorio de que la entrega de correo electrónico puede facilitar el compromiso del servidor de correo, y que los operadores chinos continuarán tratándolos como cualquier otro dispositivo de borde, por lo que los defensores deben priorizar la defensa de los servidores de correo de sus redes tan a fondo como lo hacen con sus concentradores VPN y otros nodos de acceso remoto en sus redes”.

- Advertisement -spot_img

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Últimos artículos

El universo de Big Bang Theory regresará pronto, pero ¿qué miembros...

La teoría del Big Bang La franquicia está a punto de expandirse una vez más. El nuevo spin-off trae...

Noticias relacionadas

- Advertisement -spot_img