Um grupo de atividade maliciosa associado à China foi observado explorando o software de webmail Roundcube, usado por departamentos de física e engenharia de universidades dos Estados Unidos e do Canadá, em uma nova campanha.
A operação envolve a exploração de falhas de segurança críticas já corrigidas no sistema de e-mail de código aberto, como a
CVE-2024-42009
, com pontuação CVSS de 9,3, para roubar credenciais.
Em seguida, os atacantes instalam um web shell para manter acesso persistente ou utilizam uma ferramenta pós-exploração conhecida como VShell.
O novo grupo de ameaça é acompanhado pela Proofpoint sob o nome UNK_MassTraction.
A detecção inicial ocorreu em maio de 2026, com foco específico em administradores e professores de departamentos ligados à segurança nacional ou a pesquisas em astrofísica e física de partículas.
“As mensagens de e-mail direcionadas aos departamentos universitários usaram tanto remetentes comprometidos quanto domínios abusados, vulneráveis a falsificação devido a uma política DMARC permissiva”, escreveu a empresa de segurança em um relatório técnico compartilhado.
A companhia acrescentou que o uso de iscas genéricas indica uma “faixa de alvos maior” do que a que estava sob sua observação.
Embora a exploração por cross-site scripting, ou XSS, exija apenas que o destinatário abra o e-mail no cliente Roundcube para que o acesso ao servidor de e-mail seja obtido, a análise indica que os departamentos escolhidos já operavam versões do Roundcube suscetíveis a falhas de segurança N-day.
Isso sugere que o threat actor provavelmente realizou reconhecimento prévio desses alvos para reunir informações sobre seus ambientes antes de enviar e-mails de phishing capazes de acionar o exploit da
CVE-2024-42009
e executar código JavaScript arbitrário no contexto do navegador da vítima.
“O ator provavelmente está abusando dos servidores Roundcube como ponto de apoio para entrar nas redes-alvo, e os operadores deliberadamente montaram sua cadeia de infecção para evitar detecção”, afirmaram os pesquisadores da Proofpoint Greg Lesnewich e Mark Kelly.
O payload entregue após a exploração da falha de XSS, codinome IceCube, foi projetado para roubar informações de credenciais armazenadas no navegador, além de 2FA e cookies.
Ele também faz seu próprio reconhecimento para coletar dados como o idioma do navegador, o tamanho da tela e valores de campos de formulários.
As informações coletadas são enviadas a um sistema externo por meio de uma solicitação HTTP POST.
Na etapa seguinte, o IceCube usa o token CSRF da sessão para viabilizar uma segunda falha de execução remota de código, já autenticada, no Roundcube, a
CVE-2025-49113
, com pontuação CVSS de 9,9, com o objetivo de obter um ponto de apoio no servidor de e-mail e carregar o VShell ou um web shell apelidado de SquareShell na memória.
O web shell, implantado por meio de um comando shell em um gadget PHP, fica acessível remotamente no endpoint `plugins/newmail_notifier/mail_preview.php` e permite a execução arbitrária de código.
Se a instalação do web shell falhar por qualquer motivo, a cadeia de ataque recorre a um mecanismo alternativo em que um script de shell é executado via a vulnerabilidade do Roundcube para, no fim, entregar o VShell.
Segundo a análise, esse método secundário foi introduzido em junho de 2026.
Antes disso, a cadeia de ataque simplesmente era encerrada quando a implantação do SquareShell falhava.
O script de shell funciona como um canal para um loader ELF conhecido como SNOWLIGHT, já usado em outras intrusões atribuídas a adversários chineses.
O uso de SNOWLIGHT e VShell já havia sido relacionado no passado a um grupo de origem chinesa monitorado como UNC5174.
Isso sugere que o script de shell possa ser compartilhado de forma privada por vários grupos ligados à China, de maneira semelhante ao ShadowPad e a outras ferramentas.
A principal função do script é baixar uma versão do SNOWLIGHT compatível com a arquitetura do sistema hospedeiro e executá-la.
“A IceCube também configura o que chama de ‘gatilhos adiados’ para garantir a continuidade da cadeia de infecção”, disse a Proofpoint.
“Esses gatilhos monitoram se o usuário fecha a página ou troca de abas, verificam se o mouse sai da janela do navegador e sequestram o botão de logout.”
“Se alguma dessas ações ocorrer, a IceCube aciona esses eventos, tenta novamente explorar a
CVE-2025-49113
e envia um sinal ao C&C [command and control] informando que o usuário deixou a sessão do Roundcube.”
Ao concluir essas ações ou ao atingir um tempo limite, o malware em JavaScript destrói no servidor as sessões iniciadas pelo usuário e pelo malware, fazendo com que a vítima seja desconectada e apagando evidências forenses associadas à invasão do servidor Roundcube.
Escrito em Go, o VShell é uma ferramenta de administração remota que oferece capacidades pós-comprometimento semelhantes às do Cobalt Strike.
Nos últimos anos, ele tem sido usado por diversos adversários alinhados à China.
O caso marca a primeira vez que um grupo de hackers chinês é associado à exploração de falhas no Roundcube, tradicionalmente abusadas por threat actors patrocinados pelo Estado russo.
“Embora o perfil dos alvos desta campanha desperte a imaginação, é improvável que o UNK_MassTraction esteja resolvendo, em breve, grandes questões da física teórica ou o paradoxo de Fermi”, concluíram os pesquisadores da Proofpoint.
“O UNK_MassTraction demonstrou um conjunto de ferramentas maduro e uso incomum de vulnerabilidades N-day.
A campanha é um lembrete de que a entrega de e-mails pode facilitar a invasão do servidor de e-mail e de que operadores chineses continuarão a tratá-los como qualquer outro dispositivo de borda, então os defensores devem priorizar a proteção dos servidores de e-mail de suas redes com o mesmo rigor aplicado aos concentradores de VPN e a outros nós de acesso remoto.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...