Siber güvenlik firması Proofpoint, Çin bağlantılı olduğu değerlendirilen bir tehdit kümesinin (UNK_MassTraction) ABD ve Kanada üniversitelerindeki fizik ve mühendislik bölümlerini hedef alan yeni bir kampanya başlattığını duyurdu. Saldırganlar, Roundcube webmail yazılımındaki daha önce yamalanmış kritik güvenlik açıklarını (CVE-2024-42009) kullanarak kimlik bilgilerini çalıyor ve ardından web shell veya VShell adlı post-exploitation aracını yerleştiriyor.
Proofpoint araştırmacılarına göre, saldırılar Mayıs 2026'da tespit edildi ve özellikle ulusal güvenlik bağlantılı veya astrofizik ile parçacık fiziği üzerine çalışan bölümlerdeki yöneticiler ve profesörler hedef alındı. Saldırganlar, e-postaları göndermek için hem ele geçirilmiş göndericileri hem de zayıf DMARC politikası nedeniyle sahteciliğe açık alan adlarını kullandı. Kullanılan genel tuzaklar, kampanyanın görünenden daha geniş bir hedef kitlesine yönelik olduğunu gösteriyor.
Saldırı zincirinde, CVE-2024-42009 (XSS) açığı kullanılarak hedefin tarayıcısında JavaScript kodları çalıştırılıyor ve IceCube adlı bir yük devreye sokuluyor. IceCube, tarayıcıda saklanan kimlik bilgilerini, iki faktörlü kimlik doğrulama tokenlarını ve çerezleri topluyor. Ardından, CVE-2025-49113 (RCE) açığı kullanılarak posta sunucusuna SquareShell web shell veya VShell yerleştiriliyor. İkinci yöntemin başarısız olması durumunda, saldırganlar SNOWLIGHT adlı ELF yükleyiciyi kullanan alternatif bir mekanizmaya geçiyor.
Proofpoint araştırmacıları, bu kampanyanın Çin bağlantılı tehdit aktörlerinin Roundcube açıklarını ilk kez kullanması olduğunu belirtiyor. Daha önce bu tür açıklar genellikle Rusya destekli devlet aktörleri tarafından kullanılıyordu. UNK_MassTraction'ın olgun araç seti ve n-day güvenlik açıklarını kullanma şekli, e-posta sunucularının diğer uç cihazlar gibi savunulması gerektiğini gösteriyor. Savunmacıların, VPN yoğunlaştırıcılarına gösterdikleri özeni e-posta sunucularına da göstermeleri kritik önem taşıyor.