Een door China gelinkt dreigingscluster maakt sinds mei gebruik van kwetsbare Roundcube-webmailservers bij universiteiten in de Verenigde Staten en Canada om inloggegevens te stelen en backdoor-malware te installeren. De campagne richt zich vooral op afdelingen natuurkunde en techniek, alsook op onderzoekers en organisaties die zich bezighouden met astrofysica, deeltjesfysica en nationale veiligheidsgerelateerde onderzoeken.
Onderzoekers van het cybersecuritybedrijf Proofpoint volgen deze activiteiten onder de naam ‘UNK_MassTraction’ en vermoeden dat het om een nieuw dreigingscluster gaat. De aanval start met een kwaadaardige e-mail die wordt verzonden vanuit gehackte accounts of gespoofte domeinen, waarbij een generieke lokroep wordt gebruikt. Het openen van deze e-mail in een kwetsbare Roundcube-webmailclient leidt tot het misbruiken van een cross-site scripting-kwetsbaarheid, geregistreerd als CVE-2024-42009. Hierdoor wordt JavaScript uitgevoerd in de browser van het slachtoffer, waarmee een payload met de naam IceCube wordt geladen. IceCube is een geavanceerde Roundcube-stealer die gebruikersnamen, wachtwoorden, cookies, tweefactorauthenticatiegegevens en browserinformatie kan verzamelen.
Volgens Proofpoint maakt de malware gebruik van zogenaamde "helpers" om een deserialisatie-kwetsbaarheid in Roundcube uit te buiten, bekend als CVE-2025-49113, en probeert vervolgens SquareShell te installeren. Dit is een PHP-webshell met mogelijkheden voor het uitvoeren van code op afstand. Bij een succesvolle installatie krijgt de aanvaller hiermee controle over de mailserver. Als dat niet lukt, wordt een shellscript gedownload dat een andere payload, VShell, direct in het geheugen laadt. VShell is een backdoor geschreven in Go, die interactieve shelltoegang en poortdoorsturing ondersteunt en vaak wordt ingezet door Chinese dreigingsactoren.
Proofpoint stelt op basis van meerdere aanwijzingen vast dat UNK_MassTraction waarschijnlijk een door China georiënteerde spionagegroep betreft. Zo overlapt de gebruikte infrastructuur met een eerder bekend VPS-netwerk dat aan meerdere China-gerelateerde actoren wordt toegeschreven. Daarnaast zijn er Chinese taalsporen gevonden in eerdere phishingmails en is het kenmerkend dat internetgerichte mailservers worden aangevallen als toegangspoort tot interne netwerken. Proofpoint benadrukt echter dat deze attributie een inschatting is en geen hoge mate van zekerheid heeft.
Opvallend is dat de aanvallers servers selecteerden die al als kwetsbaar bekend stonden voor CVE-2024-42009 en CVE-2025-49113, wat duidt op voorafgaand verkenningswerk. Beheerders van Roundcube-systemen wordt geadviseerd om de nieuwste beveiligingsupdates te installeren die deze kwetsbaarheden verhelpen en mailservers met dezelfde zorg te behandelen als VPN’s en andere toegangspunten. Test elke laag voordat aanvallers dat doen om detectie te verbeteren en risico’s te beperken.
Reacties
Geef een reactie
Vereiste velden zijn gemarkeerd met *