Cibersegurança

Hackers alinhados à China exploram falhas no Roundcube contra universidades

Um cluster suspeito de operar alinhado à China foi observado explorando falhas no webmail Roundcube pertencente a departamentos de física e engenharia de universidades dos Estados Unidos e Canadá, em uma nova campanha. As ações envolvem a exploração de vulnerabilidades críticas já corrigidas, como a CVE-2024-42009, para roubar credenciais, seguidas do implante de web shells ou ferramentas de pós-exploração.


Ravie Lakshmanan Terça - 07 de Julho de 2026 às 18:22
The Hacker News

Um cluster de atividades maliciosas suspeito de operar alinhado à China foi observado explorando o software de webmail Roundcube pertencente a departamentos de física e engenharia de universidades dos Estados Unidos e Canadá como parte de uma nova campanha.

As ações envolvem a exploração de vulnerabilidades críticas já corrigidas na solução de e-mail de código aberto, como a CVE-2024-42009 (Vulnerabilidades e Exposições Comuns), com pontuação 9,3 no CVSS (Sistema Comum de Pontuação de Vulnerabilidades), para roubar credenciais. Em seguida, os atacantes implantam um web shell (interface de acesso remoto em servidores web) para acesso persistente ou uma ferramenta de pós-exploração conhecida chamada VShell.

Um novo cluster em atividade

O grupo emergente é monitorado pela Proofpoint sob o codinome UNK_MassTraction. Ele foi detectado pela primeira vez em maio de 2026, com foco específico em administradores e professores de departamentos com laços com a segurança nacional ou entidades que estudam astrofísica e física de partículas.

"Os e-mails direcionados aos departamentos universitários utilizaram tanto remetentes comprometidos quanto domínios abusados, vulneráveis à falsificação devido a uma política frouxa de DMARC (Autenticação, Relatório e Conformidade de Mensagens Baseada em Domínio), para enviar as mensagens", escreveu a empresa de segurança corporativa em um relatório técnico compartilhado com o The Hacker News, acrescentando que o uso de iscas genéricas indica um "alvo de mira mais amplo" além de sua visibilidade.

Exploração por XSS

Embora a natureza da exploração por XSS (Script entre Sites) exija apenas que o destinatário abra o e-mail no cliente Roundcube para que o acesso ao servidor de e-mail seja obtido, a avaliação é de que os departamentos visados foram escolhidos porque todos executavam versões do Roundcube suscetíveis a vulnerabilidades do tipo N-day (falhas já divulgadas, mas ainda presentes em sistemas sem patch).

Isso indica que o agente malicioso provavelmente realizou reconhecimento prévio desses alvos para levantar informações sobre seus ambientes antes de enviar e-mails de phishing (mensagens fraudulentas) que acionam a exploração da CVE-2024-42009 e executam código JavaScript arbitrário no contexto do navegador da vítima.

"O agente provavelmente está abusando dos servidores Roundcube como ponto de apoio para entrar nas redes-alvo, e os operadores elaboraram deliberadamente sua cadeia de infecção para evitar detecção", afirmaram os pesquisadores da Proofpoint Greg Lesnewich e Mark Kelly.

O payload IceCube

O payload entregue após a exploração da falha de XSS, batizado de IceCube, foi projetado para extrair informações de credenciais armazenadas no navegador, além de códigos de autenticação de dois fatores (2FA) e cookies. Ele também realiza seu próprio reconhecimento, coletando informações sobre o idioma do navegador, o tamanho da tela e valores de campos de formulário.

As informações coletadas são enviadas a um sistema externo por meio de uma requisição HTTP POST (método de envio de dados em protocolos web). Na etapa seguinte, o IceCube se vale do token CSRF (Falsificação de Solicitação entre Sites) da sessão para explorar uma segunda falha de execução remota de código pós-autenticação no Roundcube — a CVE-2025-49113, com pontuação 9,9 no CVSS — com o objetivo de obter um ponto de apoio no servidor de e-mail e soltar o VShell ou um web shell chamado SquareShell em memória.

Mecanismos de persistência

O web shell, implantado por meio de um gadget em PHP (linguagem de script amplamente usada em servidores web), fica acessível remotamente no endpoint "plugins/newmail_notifier/mail_preview.php" e permite a execução de código arbitrário. No entanto, se a instalação do web shell falhar por algum motivo, a cadeia de ataque recorre a um mecanismo alternativo, no qual um script shell é executado por meio da vulnerabilidade do Roundcube para, ao final, entregar o VShell.

Esse método secundário teria sido introduzido em junho de 2026. Antes disso, a cadeia de ataque simplesmente era encerrada quando o implante do SquareShell falhava. O script shell serve como condutor para um carregador ELF (Formato Executável e Vinculável, usado em sistemas Linux/Unix) chamado SNOWLIGHT, que já foi utilizado em outras intrusões orquestradas por adversários chineses. Tanto o SNOWLIGHT quanto o VShell já foram associados, no passado, a um cluster ligado à China monitorado como UNC5174.

Isso sugere que o script shell é possivelmente compartilhado por vários clusters de origem chinesa em caráter privado, de forma semelhante ao ShadowPad e a outras ferramentas. A principal responsabilidade do script é buscar uma versão do SNOWLIGHT compatível com a arquitetura do sistema hospedeiro e executá-la.

Gatilhos diferidos e limpeza de rastros

"O IceCube também configura o que chama de 'gatilhos diferidos' para garantir a continuidade da cadeia de infecção", informou a Proofpoint. "Os gatilhos diferidos monitoram se o usuário fecha a página ou muda de aba, verificam se o mouse sai da janela do navegador e sequestram o botão de logout."

"Se qualquer uma dessas ações for tomada, o IceCube captura esses eventos, tenta novamente a exploração da CVE-2025-49113 e sinaliza ao C2 (servidor de Comando e Controle) que o usuário saiu da sessão do Roundcube."

Após concluir essas ações ou atingir um tempo limite, o malware em JavaScript destrói as sessões iniciadas pelo usuário e pelo próprio malware no servidor, fazendo com que o usuário seja desconectado e apagando indícios forenses ligados ao comprometimento no servidor do Roundcube.

Ferramenta de administração remota

Escrito em Go, o VShell é uma ferramenta de administração remota que oferece capacidades de pós-comprometimento semelhantes às do Cobalt Strike. Ele vem sendo utilizado

notícias atualidade portal