Hackers ligados à China exploram falhas no Roundcube contra universidades
7 de Julho de 2026

Um grupo de atividade maliciosa associado à China foi observado explorando o software de webmail Roundcube, usado por departamentos de física e engenharia de universidades dos Estados Unidos e do Canadá, em uma nova campanha.

A operação envolve a exploração de falhas de segurança críticas já corrigidas no sistema de e-mail de código aberto, como a CVE-2024-42009 , com pontuação CVSS de 9,3, para roubar credenciais.

Em seguida, os atacantes instalam um web shell para manter acesso persistente ou utilizam uma ferramenta pós-exploração conhecida como VShell.

O novo grupo de ameaça é acompanhado pela Proofpoint sob o nome UNK_MassTraction.

A detecção inicial ocorreu em maio de 2026, com foco específico em administradores e professores de departamentos ligados à segurança nacional ou a pesquisas em astrofísica e física de partículas.

“As mensagens de e-mail direcionadas aos departamentos universitários usaram tanto remetentes comprometidos quanto domínios abusados, vulneráveis a falsificação devido a uma política DMARC permissiva”, escreveu a empresa de segurança em um relatório técnico compartilhado.

A companhia acrescentou que o uso de iscas genéricas indica uma “faixa de alvos maior” do que a que estava sob sua observação.

Embora a exploração por cross-site scripting, ou XSS, exija apenas que o destinatário abra o e-mail no cliente Roundcube para que o acesso ao servidor de e-mail seja obtido, a análise indica que os departamentos escolhidos já operavam versões do Roundcube suscetíveis a falhas de segurança N-day.

Isso sugere que o threat actor provavelmente realizou reconhecimento prévio desses alvos para reunir informações sobre seus ambientes antes de enviar e-mails de phishing capazes de acionar o exploit da CVE-2024-42009 e executar código JavaScript arbitrário no contexto do navegador da vítima.

“O ator provavelmente está abusando dos servidores Roundcube como ponto de apoio para entrar nas redes-alvo, e os operadores deliberadamente montaram sua cadeia de infecção para evitar detecção”, afirmaram os pesquisadores da Proofpoint Greg Lesnewich e Mark Kelly.

O payload entregue após a exploração da falha de XSS, codinome IceCube, foi projetado para roubar informações de credenciais armazenadas no navegador, além de 2FA e cookies.

Ele também faz seu próprio reconhecimento para coletar dados como o idioma do navegador, o tamanho da tela e valores de campos de formulários.

As informações coletadas são enviadas a um sistema externo por meio de uma solicitação HTTP POST.

Na etapa seguinte, o IceCube usa o token CSRF da sessão para viabilizar uma segunda falha de execução remota de código, já autenticada, no Roundcube, a CVE-2025-49113 , com pontuação CVSS de 9,9, com o objetivo de obter um ponto de apoio no servidor de e-mail e carregar o VShell ou um web shell apelidado de SquareShell na memória.

O web shell, implantado por meio de um comando shell em um gadget PHP, fica acessível remotamente no endpoint `plugins/newmail_notifier/mail_preview.php` e permite a execução arbitrária de código.

Se a instalação do web shell falhar por qualquer motivo, a cadeia de ataque recorre a um mecanismo alternativo em que um script de shell é executado via a vulnerabilidade do Roundcube para, no fim, entregar o VShell.

Segundo a análise, esse método secundário foi introduzido em junho de 2026.

Antes disso, a cadeia de ataque simplesmente era encerrada quando a implantação do SquareShell falhava.

O script de shell funciona como um canal para um loader ELF conhecido como SNOWLIGHT, já usado em outras intrusões atribuídas a adversários chineses.

O uso de SNOWLIGHT e VShell já havia sido relacionado no passado a um grupo de origem chinesa monitorado como UNC5174.

Isso sugere que o script de shell possa ser compartilhado de forma privada por vários grupos ligados à China, de maneira semelhante ao ShadowPad e a outras ferramentas.

A principal função do script é baixar uma versão do SNOWLIGHT compatível com a arquitetura do sistema hospedeiro e executá-la.

“A IceCube também configura o que chama de ‘gatilhos adiados’ para garantir a continuidade da cadeia de infecção”, disse a Proofpoint.

“Esses gatilhos monitoram se o usuário fecha a página ou troca de abas, verificam se o mouse sai da janela do navegador e sequestram o botão de logout.”

“Se alguma dessas ações ocorrer, a IceCube aciona esses eventos, tenta novamente explorar a CVE-2025-49113 e envia um sinal ao C&C [command and control] informando que o usuário deixou a sessão do Roundcube.”

Ao concluir essas ações ou ao atingir um tempo limite, o malware em JavaScript destrói no servidor as sessões iniciadas pelo usuário e pelo malware, fazendo com que a vítima seja desconectada e apagando evidências forenses associadas à invasão do servidor Roundcube.

Escrito em Go, o VShell é uma ferramenta de administração remota que oferece capacidades pós-comprometimento semelhantes às do Cobalt Strike.

Nos últimos anos, ele tem sido usado por diversos adversários alinhados à China.

O caso marca a primeira vez que um grupo de hackers chinês é associado à exploração de falhas no Roundcube, tradicionalmente abusadas por threat actors patrocinados pelo Estado russo.

“Embora o perfil dos alvos desta campanha desperte a imaginação, é improvável que o UNK_MassTraction esteja resolvendo, em breve, grandes questões da física teórica ou o paradoxo de Fermi”, concluíram os pesquisadores da Proofpoint.

“O UNK_MassTraction demonstrou um conjunto de ferramentas maduro e uso incomum de vulnerabilidades N-day.

A campanha é um lembrete de que a entrega de e-mails pode facilitar a invasão do servidor de e-mail e de que operadores chineses continuarão a tratá-los como qualquer outro dispositivo de borda, então os defensores devem priorizar a proteção dos servidores de e-mail de suas redes com o mesmo rigor aplicado aos concentradores de VPN e a outros nós de acesso remoto.”

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...