Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Presuntos piratas informáticos afiliados a China explotan las fallas de Roundcube contra universidades

Aalo Atomics logra un hito de criticidad avanzada del reactor

La UE envía trabajadores de emergencia y aviones a los incendios forestales en Portugal y Francia

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»Presuntos piratas informáticos afiliados a China explotan las fallas de Roundcube contra universidades
Identidad

Presuntos piratas informáticos afiliados a China explotan las fallas de Roundcube contra universidades

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 7, 2026No hay comentarios6 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Se observó que un grupo de actividades de amenazas que se cree está afiliado a China abusaba del software de correo web Roundcube perteneciente a los departamentos de física e ingeniería de universidades de Estados Unidos y Canadá como parte de una nueva campaña.

Esta actividad implica explotar fallas de seguridad críticas que han sido parcheadas en soluciones de correo electrónico de código abierto, como CVE-2024-42009 (puntaje CVSS: 9.3), para desviar credenciales y luego implementar una conocida herramienta posterior a la explotación llamada Web Shell o VShell para acceso persistente.

Proofpoint está rastreando un nuevo grupo de amenazas con el nombre UNK_MassTraction. El virus se detectó por primera vez en mayo de 2026 y se centró específicamente en administradores y profesores de departamentos relacionados con la seguridad nacional y organizaciones que investigan astrofísica y física de partículas.

«Los correos electrónicos dirigidos a departamentos universitarios utilizaban tanto remitentes comprometidos como dominios explotados que eran vulnerables a la suplantación de identidad debido a políticas DMARC laxas al enviar correos electrónicos», dijo la firma de seguridad empresarial en un informe técnico compartido con The Hacker News, y agregó que el uso de señuelos comunes indica un «rango objetivo más amplio» más allá del rango visible.

Aunque la naturaleza del exploit de secuencias de comandos entre sitios (XSS) requiere que los destinatarios simplemente abran el correo electrónico en un cliente Roundcube para acceder al servidor de correo, se cree que los departamentos objetivo fueron identificados porque todos ejecutaban una versión de Roundcube que era susceptible a la falla de seguridad del día N.

Esto indica que los atacantes probablemente realizaron un reconocimiento preliminar de estos objetivos para recopilar información sobre su entorno antes de enviar un correo electrónico de phishing que activa el exploit CVE-2024-42009 y ejecuta código JavaScript arbitrario en el contexto del navegador web de la víctima.

Los investigadores de Proofpoint, Greg Lesnewich y Mark Kelly, dijeron que «es probable que los atacantes estén explotando los servidores Roundcube como un punto clave para infiltrarse en las redes objetivo, y los operadores están creando intencionalmente cadenas de infección para evitar la detección».

La carga útil (con nombre en código IceCube) entregada después de explotar la falla XSS está diseñada para extraer las credenciales almacenadas en el navegador junto con la autenticación de dos factores (2FA) y cookies. También realizamos nuestro propio reconocimiento para recopilar información sobre el idioma del navegador, el tamaño de la pantalla y los valores de los campos del formulario. Tamaño de pantalla y valores de campo de formulario.

La información recopilada se envía a un sistema externo mediante una solicitud HTTP POST. En el siguiente paso, IceCube aprovecha el token CSRF de la sesión para convertir en arma la segunda falla de ejecución remota de código posterior a la autenticación de Roundcube, CVE-2025-49113 (puntuación CVSS: 9,9), con el objetivo de afianzarse en el servidor de correo electrónico y colocar un shell web llamado VShell o SquareShell en la memoria.

Se puede acceder de forma remota al shell web implementado por el comando PHP gadget shell en el punto final ‘plugins/newmail_notifier/mail_preview.php’ y permite la ejecución de código arbitrario. Sin embargo, si la instalación del shell web falla por algún motivo, la cadena de ataque recurre a un mecanismo alternativo que ejecuta el script del shell a través de la vulnerabilidad Roundcube y, en última instancia, entrega VShell.

Se dice que la segunda técnica se introdujo en junio de 2026 y anteriormente la cadena de ataque simplemente terminaría si fallaba la implementación de SquareShell. Este script de shell sirve como conducto para un cargador ELF llamado SNOWLIGHT, que se ha utilizado en otras intrusiones orquestadas por adversarios chinos. El uso de SNOWLIGHT y VShell se ha asociado anteriormente con un grupo relacionado con China rastreado como UNC5174.

Esto sugiere que los scripts de shell pueden ser compartidos por múltiples clústeres de China-nexus de forma privada, similar a ShadowPad y otras herramientas. La función principal del script es buscar una versión de SNOWLIGHT que sea compatible con la arquitectura del sistema del host y ejecutarla.

«IceCube también ha establecido lo que se denomina ‘activadores retardados’ para garantizar la continuación de la cadena de infección», afirmó Proofpoint. «Los activadores retardados observan si el usuario cierra la página o cambia de pestaña, verifican si el mouse sale de la ventana del navegador y verifican si el botón de cerrar sesión está secuestrado».

«Cuando se realiza cualquiera de estas acciones, IceCube engancha esos eventos, vuelve a intentar el exploit CVE-2025-49113 y envía señales para ordenar y controlar (C&C) que el usuario ha abandonado la sesión de Roundcube».

Una vez que estas acciones se completan o expiran, el malware JavaScript destruye al usuario en el servidor y la sesión iniciada por el malware, cierra la sesión del usuario y borra cualquier evidencia forense relacionada con el compromiso del servidor Roundcube.

VShell, escrita en Go, es una herramienta de administración remota que proporciona una funcionalidad posterior a la infracción similar a Cobalt Strike. En los últimos años, ha sido utilizado por una variedad de adversarios alineados con China.

Este acontecimiento marca la primera vez que un grupo de piratas informáticos chino participa en la explotación de una falla en RoundCube, que tradicionalmente ha sido explotada por atacantes patrocinados por el estado ruso.

«Si bien los objetivos de esta campaña son imaginativos, es poco probable que UNK_MassTraction resuelva cuestiones profundas de la física teórica o la paradoja de Fermi en un futuro próximo», concluyen los investigadores de Proofpoint.

«UNK_MassTraction demostró un conjunto de herramientas maduro y un uso único de las vulnerabilidades de n días. Esta campaña es un recordatorio de que la entrega de correo electrónico puede facilitar el compromiso de los servidores de correo y que los operadores chinos continúan tratando a los servidores de correo electrónico como cualquier otro dispositivo de borde. Como tal, los defensores deben usar concentradores VPN y otros nodos de acceso remoto en la red para administrar el correo electrónico. Proteger sus servidores en profundidad debe ser su prioridad».


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleAalo Atomics logra un hito de criticidad avanzada del reactor
corp@blsindustriaytecnologia.com
  • Website

Related Posts

CERT/CC advierte sobre puerta trasera de administrador oculta en el firmware del enrutador Tenda

julio 7, 2026

BeyondTrust corrige fallas críticas de omisión de autenticación en soporte remoto y PRA

julio 7, 2026

Los piratas informáticos vinculados a Irán utilizan el nuevo marco Cavern C2 para atacar a organizaciones israelíes

julio 6, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Presuntos piratas informáticos afiliados a China explotan las fallas de Roundcube contra universidades

Aalo Atomics logra un hito de criticidad avanzada del reactor

La UE envía trabajadores de emergencia y aviones a los incendios forestales en Portugal y Francia

CERT/CC advierte sobre puerta trasera de administrador oculta en el firmware del enrutador Tenda

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.