Hackers alineados con China explotan vulnerabilidades de Roundcube en universidades

Publicado el

Introducción

Recientes informes han revelado que un grupo de hackers supuestamente alineados con China ha estado explotando vulnerabilidades en el software de correo web Roundcube. Este ataque se ha centrado en departamentos de física e ingeniería de universidades en Estados Unidos y Canadá como parte de una campaña más amplia.

Detalles del ataque

Los atacantes se han aprovechado de fallos de seguridad críticos, ahora corregidos, en Roundcube, incluyendo CVE-2024-42009 (con una puntuación CVSS de 9.3), para robar credenciales. Posteriormente, pueden desplegar un web shell para mantener acceso persistente o utilizar una herramienta de post-explotación conocida como VShell. Este grupo de amenazas ha sido rastreado por Proofpoint bajo el nombre de UNK_MassTraction y fue detectado por primera vez en mayo de 2026.

Los correos electrónicos dirigidos a los departamentos universitarios utilizaron tanto remitentes comprometidos como dominios abusados, vulnerables a spoofing debido a políticas de DMARC laxas. Según el informe técnico de Proofpoint, los tipos de lures utilizados indican un enfoque más amplio que va más allá de la visibilidad inicial del ataque.

Técnica de explotación

La naturaleza del cross-site scripting (XSS) de este ataque requiere que la víctima simplemente abra el correo en el cliente Roundcube para que los atacantes obtengan acceso al servidor de correo. Se ha evaluado que los departamentos seleccionados eran vulnerables porque estaban utilizando versiones de Roundcube susceptibles a fallos de seguridad N-day. Esto sugiere que el actor de la amenaza realizó una reconocimiento previo para recopilar información sobre su entorno antes de enviar correos de phishing que desencadenan la explotación de CVE-2024-42009.

Los investigadores de Proofpoint, Greg Lesnewich y Mark Kelly, han indicado que los atacantes probablemente están utilizando los servidores de Roundcube como un punto de entrada a las redes objetivo, habiendo diseñado su cadena de infección para evitar la detección.

Payload y métodos de ataque

El payload entregado tras la explotación de la vulnerabilidad XSS, denominado IceCube, está diseñado para robar información de credenciales almacenadas en el navegador, así como datos de autenticación de dos factores (2FA) y cookies. Además, lleva a cabo un reconocimiento propio para recopilar información sobre el idioma del navegador, el tamaño de la pantalla y los valores de los campos de formularios.

La información recolectada se envía a un sistema externo mediante una solicitud HTTP POST. Posteriormente, IceCube utiliza el token CSRF de la sesión para activar una segunda vulnerabilidad de ejecución remota de código post-autenticación en Roundcube, CVE-2025-49113 (puntuación CVSS: 9.9), con el objetivo de obtener un acceso en el servidor de correo y desplegar VShell o un web shell llamado SquareShell en memoria.

El web shell es accesible de forma remota a través del punto final `plugins/newmail_notifier/mail_preview.php`, permitiendo la ejecución de código arbitrario. Si la instalación del web shell falla, el ataque recurre a un mecanismo alternativo donde se ejecuta un script de shell a través de la vulnerabilidad de Roundcube para entregar finalmente VShell. Este método alternativo fue introducido en junio de 2026.

Conclusión

La explotación de vulnerabilidades en Roundcube por parte de este grupo representa un cambio notable, ya que anteriormente estas vulnerabilidades eran más comúnmente utilizadas por actores de amenazas patrocinados por el estado de Rusia. Si bien el enfoque de esta campaña puede resultar intrigante, se estima que UNK_MassTraction no logrará resolver problemas teóricos profundos en la física.

Fuente

Ver noticia original