
Se observó que un grupo de actividades de amenazas que se cree está afiliado a China abusaba del software de correo web Roundcube perteneciente a los departamentos de física e ingeniería de universidades de Estados Unidos y Canadá como parte de una nueva campaña.
Esta actividad implica explotar fallas de seguridad críticas que han sido parcheadas en soluciones de correo electrónico de código abierto, como CVE-2024-42009 (puntaje CVSS: 9.3), para desviar credenciales y luego implementar una conocida herramienta posterior a la explotación llamada Web Shell o VShell para acceso persistente.
Proofpoint está rastreando un nuevo grupo de amenazas con el nombre UNK_MassTraction. El virus se detectó por primera vez en mayo de 2026 y se centró específicamente en administradores y profesores de departamentos relacionados con la seguridad nacional y organizaciones que investigan astrofísica y física de partículas.
«Los correos electrónicos dirigidos a departamentos universitarios utilizaban tanto remitentes comprometidos como dominios explotados que eran vulnerables a la suplantación de identidad debido a políticas DMARC laxas al enviar correos electrónicos», dijo la firma de seguridad empresarial en un informe técnico compartido con The Hacker News, y agregó que el uso de señuelos comunes indica un «rango objetivo más amplio» más allá del rango visible.
Aunque la naturaleza del exploit de secuencias de comandos entre sitios (XSS) requiere que los destinatarios simplemente abran el correo electrónico en un cliente Roundcube para acceder al servidor de correo, se cree que los departamentos objetivo fueron identificados porque todos ejecutaban una versión de Roundcube que era susceptible a la falla de seguridad del día N.
Esto indica que los atacantes probablemente realizaron un reconocimiento preliminar de estos objetivos para recopilar información sobre su entorno antes de enviar un correo electrónico de phishing que activa el exploit CVE-2024-42009 y ejecuta código JavaScript arbitrario en el contexto del navegador web de la víctima.
Los investigadores de Proofpoint, Greg Lesnewich y Mark Kelly, dijeron que «es probable que los atacantes estén explotando los servidores Roundcube como un punto clave para infiltrarse en las redes objetivo, y los operadores están creando intencionalmente cadenas de infección para evitar la detección».
La carga útil (con nombre en código IceCube) entregada después de explotar la falla XSS está diseñada para extraer las credenciales almacenadas en el navegador junto con la autenticación de dos factores (2FA) y cookies. También realizamos nuestro propio reconocimiento para recopilar información sobre el idioma del navegador, el tamaño de la pantalla y los valores de los campos del formulario. Tamaño de pantalla y valores de campo de formulario.
La información recopilada se envía a un sistema externo mediante una solicitud HTTP POST. En el siguiente paso, IceCube aprovecha el token CSRF de la sesión para convertir en arma la segunda falla de ejecución remota de código posterior a la autenticación de Roundcube, CVE-2025-49113 (puntuación CVSS: 9,9), con el objetivo de afianzarse en el servidor de correo electrónico y colocar un shell web llamado VShell o SquareShell en la memoria.
Se puede acceder de forma remota al shell web implementado por el comando PHP gadget shell en el punto final ‘plugins/newmail_notifier/mail_preview.php’ y permite la ejecución de código arbitrario. Sin embargo, si la instalación del shell web falla por algún motivo, la cadena de ataque recurre a un mecanismo alternativo que ejecuta el script del shell a través de la vulnerabilidad Roundcube y, en última instancia, entrega VShell.

Se dice que la segunda técnica se introdujo en junio de 2026 y anteriormente la cadena de ataque simplemente terminaría si fallaba la implementación de SquareShell. Este script de shell sirve como conducto para un cargador ELF llamado SNOWLIGHT, que se ha utilizado en otras intrusiones orquestadas por adversarios chinos. El uso de SNOWLIGHT y VShell se ha asociado anteriormente con un grupo relacionado con China rastreado como UNC5174.
Esto sugiere que los scripts de shell pueden ser compartidos por múltiples clústeres de China-nexus de forma privada, similar a ShadowPad y otras herramientas. La función principal del script es buscar una versión de SNOWLIGHT que sea compatible con la arquitectura del sistema del host y ejecutarla.
«IceCube también ha establecido lo que se denomina ‘activadores retardados’ para garantizar la continuación de la cadena de infección», afirmó Proofpoint. «Los activadores retardados observan si el usuario cierra la página o cambia de pestaña, verifican si el mouse sale de la ventana del navegador y verifican si el botón de cerrar sesión está secuestrado».
«Cuando se realiza cualquiera de estas acciones, IceCube engancha esos eventos, vuelve a intentar el exploit CVE-2025-49113 y envía señales para ordenar y controlar (C&C) que el usuario ha abandonado la sesión de Roundcube».
Una vez que estas acciones se completan o expiran, el malware JavaScript destruye al usuario en el servidor y la sesión iniciada por el malware, cierra la sesión del usuario y borra cualquier evidencia forense relacionada con el compromiso del servidor Roundcube.
VShell, escrita en Go, es una herramienta de administración remota que proporciona una funcionalidad posterior a la infracción similar a Cobalt Strike. En los últimos años, ha sido utilizado por una variedad de adversarios alineados con China.
Este acontecimiento marca la primera vez que un grupo de piratas informáticos chino participa en la explotación de una falla en RoundCube, que tradicionalmente ha sido explotada por atacantes patrocinados por el estado ruso.
«Si bien los objetivos de esta campaña son imaginativos, es poco probable que UNK_MassTraction resuelva cuestiones profundas de la física teórica o la paradoja de Fermi en un futuro próximo», concluyen los investigadores de Proofpoint.
«UNK_MassTraction demostró un conjunto de herramientas maduro y un uso único de las vulnerabilidades de n días. Esta campaña es un recordatorio de que la entrega de correo electrónico puede facilitar el compromiso de los servidores de correo y que los operadores chinos continúan tratando a los servidores de correo electrónico como cualquier otro dispositivo de borde. Como tal, los defensores deben usar concentradores VPN y otros nodos de acceso remoto en la red para administrar el correo electrónico. Proteger sus servidores en profundidad debe ser su prioridad».
Source link
