roundcube unk masstraction universita usa canada

Roundcube sotto attacco, UNK_MassTraction colpisce università USA e Canada

🛡️ Executive Summary

  • UNK_MassTraction sfrutta vulnerabilità n-day in Roundcube per compromettere server mail universitari negli Stati Uniti e in Canada.
  • La catena usa CVE-2024-42009 per XSS, CVE-2025-49113 per deserializzazione e payload IceCube, SquareShell e VShell.
  • Le difese devono trattare i server mail come edge asset, applicando patch, log review e monitoraggio del traffico anomalo.

La campagna UNK_MassTraction conferma il ruolo crescente dei server mail come superfici di accesso strategiche nelle operazioni di spionaggio. Il cluster, sospettato di allineamento alla Cina, sfrutta vulnerabilità n-day in Roundcube per colpire dipartimenti di fisica e ingegneria presso università statunitensi e canadesi. La catena di infezione combina CVE-2024-42009, una vulnerabilità cross-site scripting attivabile con la sola apertura di un’email nel client webmail vulnerabile, e CVE-2025-49113, una falla di deserializzazione usata per ottenere esecuzione lato server. Dopo il pivot, gli operatori possono installare la webshell SquareShell oppure caricare in memoria il backdoor VShell, mantenendo accesso e capacità di movimento laterale. Il targeting di professori e amministratori legati ad aree scientifiche sensibili, come astrofisica e fisica delle particelle, suggerisce un interesse di raccolta informativa più ampio del semplice furto di email. L’operazione dimostra che una lure apparentemente generica può diventare il primo passaggio per compromettere l’infrastruttura mail.

UNK_MassTraction prende di mira Roundcube nelle università

Dal maggio 2026, UNK_MassTraction conduce campagne a basso volume contro server Roundcube appartenenti a università negli Stati Uniti e in Canada. I bersagli principali sono dipartimenti di fisica e ingegneria, con focus su amministratori e professori che operano in aree potenzialmente rilevanti per sicurezza nazionale, ricerca avanzata e programmi scientifici strategici. Gli aggressori hanno condotto ricognizione preventiva per identificare server esposti e versioni vulnerabili, segnale di una preparazione accurata prima della consegna delle email. I messaggi iniziali arrivano da mittenti compromessi o da domini con policy DMARC permissive e presentano lure volutamente poco appariscenti, simili a marketing o spam. Questa scelta riduce l’attenzione della vittima e abbassa la probabilità che il messaggio venga trattato come un attacco mirato. La pericolosità deriva dal fatto che non serve scaricare un allegato né cliccare un link: l’exploit si attiva quando la vittima apre il messaggio in un client Roundcube vulnerabile, trasformando l’email stessa in un vettore per l’esecuzione di codice nel browser.

CVE-2024-42009 avvia l’esecuzione JavaScript nel webmail

Annuncio

La prima fase della catena sfrutta CVE-2024-42009, una vulnerabilità XSS in Roundcube legata alla mancata sanitizzazione di elementi JavaScript nell’HTML delle email. Il payload usa la funzione onanimationstart per attivare codice malevolo quando il messaggio viene renderizzato nel client webmail. Una volta eseguito, lo script incorporato opera come loader e recupera un payload successivo ospitato su infrastruttura remota. In attività precedenti, il cluster ha lasciato artefatti in lingua cinese nel corpo HTML dei messaggi, elemento che contribuisce all’attribuzione ma non rappresenta da solo una prova definitiva. Il punto critico è che l’esecuzione avviene nel contesto del browser autenticato della vittima, quindi il codice malevolo può interagire con il DOM di Roundcube, accedere alla sessione e raccogliere elementi necessari per la fase successiva. Questo schema sfrutta la fiducia implicita del webmail verso contenuti HTML apparentemente innocui e mostra quanto i client mail self-hosted debbano essere trattati come applicazioni web esposte, non come semplici visualizzatori di messaggi.

IceCube ruba credenziali e prepara il pivot lato server

image 167
Roundcube sotto attacco, UNK_MassTraction colpisce università USA e Canada 5

Il payload di seconda fase, denominato IceCube, è un Roundcube stealer completo. Prima di esfiltrare dati, il codice evade l’istanziazione dell’iFrame di Roundcube attraverso una traversata del DOM, ottenendo accesso all’intero contesto della pagina e alla sessione di autenticazione. Da qui raccoglie nomi utente, password, materiale di autenticazione a due fattori, cookie e informazioni di ricognizione sul browser, incluse lingua, dimensioni dello schermo e valori presenti nei form. I dati iniziali vengono inviati al server di comando e controllo tramite richiesta HTTP POST. Il payload usa poi il token CSRF della sessione per preparare gadget destinati alla seconda vulnerabilità della catena. La struttura di IceCube include commenti multi-linea dettagliati che marcano le fasi operative e indicano aggiornamenti progressivi come fix, una caratteristica insolita per un payload offensivo. Questa verbosità suggerisce un processo di sviluppo iterativo e, secondo l’analisi, potrebbe indicare l’assistenza di un LLM nella produzione o rifinitura del codice. L’effetto operativo è una transizione ordinata dal furto lato browser alla compromissione del server mail.

CVE-2025-49113 abilita SquareShell sul server Roundcube

La seconda vulnerabilità sfruttata è CVE-2025-49113, una falla di deserializzazione in Roundcube. IceCube inserisce nel database del webmail dati PHP serializzati contenenti un gadget. Quando Roundcube deserializza l’oggetto, il gadget arriva a un percorso di esecuzione comandi tramite __destruct e parametro _gpgconf, consentendo agli operatori di eseguire codice lato server. Il primo obiettivo è scrivere su disco una webshell chiamata SquareShell, raggiungibile all’endpoint plugins/newmail_notifier/mail_preview.php. La webshell supporta funzioni di sistema come system, passthru, exec, shell_exec, assert e popen, offrendo un canale flessibile per esecuzione remota di comandi. Gli aggressori applicano anche timestomping, copiando il timestamp di modifica di un plugin legittimo per mimetizzare il file nell’ambiente. Questa tecnica rende più difficile individuare la webshell con controlli superficiali basati su date recenti di modifica. Il passaggio da XSS a deserializzazione trasforma una compromissione inizialmente confinata al browser in accesso persistente al server.

VShell offre shell interattiva e port-forwarding in memoria

Se la scrittura di SquareShell fallisce, il gadget attiva un canale di fallback introdotto a giugno 2026. In questo percorso viene scaricato uno script shell che amplia il PATH, identifica directory preferite, determina l’architettura del sistema e recupera dal comando e controllo un loader ELF compatibile. Lo script avvia poi il loader tramite nohup, rendendo il processo meno dipendente dalla sessione corrente. Il loader verifica la presenza di istanze già attive controllando /tmp/log_de.log, quindi maschera il processo come kworker/0:2, nome che richiama thread legittimi del kernel Linux. Successivamente invia dati al server remoto tramite socket e prepara il caricamento in memoria di VShell. Questo backdoor, scritto in Go e pubblicamente disponibile, è stato osservato in intrusioni su Linux, macOS e Windows da attori allineati alla Cina. Le sue capacità di shell interattiva e port-forwarding lo rendono particolarmente utile per pivot interni, esplorazione della rete e accesso a sistemi non direttamente esposti. Il caricamento in memoria riduce inoltre gli artefatti su disco e complica la detection tradizionale.

Fallback, trigger differiti e pulizia riducono la visibilità

image 168
Roundcube sotto attacco, UNK_MassTraction colpisce università USA e Canada 6

La catena di UNK_MassTraction integra meccanismi di robustezza progettati per garantire l’avanzamento dell’infezione anche quando alcune fasi falliscono. IceCube usa fallback multipli e deferred triggers che monitorano eventi come chiusura della pagina, cambio di scheda, uscita del mouse dalla finestra del browser e hijack del pulsante di logout. Quando questi eventi si verificano, il payload tenta nuovamente lo sfruttamento di CVE-2025-49113 e segnala al comando e controllo l’abbandono della sessione. Questa logica aumenta la probabilità di successo in scenari dove l’utente chiude rapidamente il messaggio o interagisce poco con il webmail. Il payload pulisce inoltre lo storage locale, rimuove tracce della presenza degli operatori nel browser e verifica periodicamente se il browser o l’host siano già infetti. Dopo le azioni previste o al raggiungimento di un timeout, distrugge sia la sessione utente sia quelle create dal malware sul server, forzando il logout della vittima e cancellando evidenze forensi. Il risultato è una catena più resiliente, ma anche più difficile da ricostruire dopo l’incidente.

L’attribuzione punta a un cluster allineato alla Cina

L’attribuzione a un cluster allineato alla Cina si basa su più elementi convergenti. Nei header delle email di phishing sono stati identificati indirizzi VPS appartenenti a una rete infrastrutturale covert probabilmente condivisa da più attori cinesi. A questo si aggiungono il targeting a basso volume di università nordamericane, l’uso di VShell, gli artefatti in lingua cinese e l’interesse per dipartimenti scientifici con potenziali legami strategici. La valutazione resta moderata, perché infrastrutture condivise e tool pubblici possono essere riutilizzati da più gruppi. Tuttavia, la campagna si inserisce in un modello già osservato: attori cinesi trattano i server mail come edge devices, analoghi a concentratori VPN o nodi di accesso remoto, per ottenere un primo punto d’ingresso e poi pivotare nella rete. Questa strategia differisce da operazioni focalizzate esclusivamente sul contenuto delle caselle. Qui il server mail è sia fonte informativa sia piattaforma operativa, capace di offrire accesso, persistenza e visibilità sull’ambiente bersaglio.

Difendere Roundcube come un asset edge critico

La campagna mostra che i server mail self-hosted devono essere protetti con lo stesso rigore applicato a VPN, gateway e appliance perimetrali. Le organizzazioni che usano Roundcube devono verificare immediatamente le versioni installate e applicare le patch disponibili per CVE-2024-42009 e CVE-2025-49113. Oltre al patching, è necessario analizzare log web e PHP alla ricerca di richieste verso plugins/newmail_notifier/mail_preview.php, uso anomalo di _gpgconf, file con timestamp sospetti, processi mascherati come kworker/0:2, connessioni in uscita insolite e indicatori legati a VShell. I difensori dovrebbero monitorare il traffico egress dai server mail, limitare i privilegi del servizio web, rafforzare segmentazione e applicare controlli di integrità sui plugin Roundcube. Per università e centri di ricerca, la priorità è includere i sistemi mail nelle procedure di threat hunting, non considerarli semplici strumenti di comunicazione. UNK_MassTraction dimostra che una singola email visualizzata nel webmail può diventare il punto d’ingresso per compromissione server, accesso persistente e movimento laterale nell’infrastruttura accademica.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto