ABD ve Kanada'daki üniversitelerin fizik ve mühendislik bölümleri, Çin bağlantılı olduğu düşünülen bir hacker grubunun hedefi haline geldi. Proofpoint'in tespit ettiği UNK_MassTraction kod adlı grup, Roundcube webmail yazılımındaki kritik güvenlik açıklarını kullanarak bu bölümlerin e-posta sunucularına sızdı. Saldırıda, CVE-2024-42009 (CVSS puanı 9.3) gibi yamalanmış açıklar kullanılarak kullanıcıların kimlik bilgileri çalındı ve ardından kalıcı erişim için web shell veya VShell adlı post-exploitation aracı yerleştirildi.
Proofpoint araştırmacıları Greg Lesnewich ve Mark Kelly'ye göre, saldırganlar Roundcube sunucularını ağlara giriş noktası olarak kullanıyor ve enfeksiyon zincirini dikkatlice gizliyor. IceCube adlı JavaScript tabanlı yük, kullanıcının tarayıcısındaki kimlik bilgilerini, iki faktörlü kimlik doğrulama (2FA) kodlarını ve çerezleri çalıyor. Ayrıca tarayıcı dili, ekran boyutu ve form alanları gibi bilgileri toplayarak bir HTTP POST isteğiyle dış sisteme gönderiyor.
IceCube, CSRF token'ını kullanarak Roundcube'daki ikinci bir açıktan (CVE-2025-49113, CVSS puanı 9.9) faydalanıyor ve uzaktan kod çalıştırma (RCE) ile VShell veya SquareShell adlı web shell'i sunucuya yerleştiriyor. SquareShell, 'plugins/newmail_notifier/mail_preview.php' uç noktası üzerinden erişilebilen bir PHP gadget shell'i ile dağıtılıyor. Başarısız olursa, alternatif bir yöntemle shell script'i üzerinden VShell devreye sokuluyor.
Uzmanların Görüşleri
Bu saldırı, Çin bağlantılı bir grubun Roundcube açıklarını kullandığı ilk vaka olarak kayıtlara geçti. Daha önce bu tür açıklar genellikle Rus devlet destekli aktörler tarafından kullanılıyordu. Proofpoint, UNK_MassTraction'un olgun bir araç setine sahip olduğunu ve e-posta sunucularının VPN gibi uç cihazlar kadar iyi korunması gerektiğini vurguluyor. Saldırının hedef seçimi, ulusal güvenlik bağlantılı veya astrofizik gibi hassas alanlarda çalışan akademisyenlere odaklanmış durumda.