Proofpoint güvenlik araştırmacıları, UNK_MassTraction adını verdikleri yeni bir tehdit kümesinin, ABD ve Kanada'daki üniversitelerin fizik ve mühendislik bölümlerini hedef aldığını tespit etti. Saldırganlar, Roundcube webmail yazılımındaki CVE-2024-42009 (CVSS puanı: 9.3) ve CVE-2025-49113 (CVSS puanı: 9.9) kodlu kritik güvenlik açıklarını kullanarak sistemlere sızıyor. İlk olarak Mayıs 2026'da tespit edilen kampanya, özellikle ulusal güvenlik bağlantılı bölümler ile astrofizik ve parçacık fiziği alanında çalışan yönetici ve profesörleri hedef alıyor.
Saldırganlar, e-postaları göndermek için hem ele geçirilmiş hesapları hem de zayıf DMARC politikaları nedeniyle taklit edilebilen alan adlarını kullanıyor. Hedef bölümlerin Roundcube'un güvenlik açığı bulunan sürümlerini çalıştırdığı belirlenirken, tehdit aktörünün hedefler hakkında önceden keşif yaptığı ve CVE-2024-42009 açığını tetikleyen kimlik avı e-postaları gönderdiği anlaşılıyor. Bu açık, alıcının sadece e-postayı Roundcube istemcisinde açmasıyla sunucuya erişim sağlıyor.
İstismar sonrası devreye alınan IceCube adlı JavaScript kötü amaçlı yazılımı, tarayıcıda saklanan kimlik bilgilerini, iki faktörlü kimlik doğrulama (2FA) verilerini ve çerezleri çalıyor. Ardından, CVE-2025-49113 açığı kullanılarak sunucuya VShell veya SquareShell adlı web shell yerleştiriliyor. IceCube ayrıca kullanıcı sayfayı kapatırsa veya sekme değiştirirse enfeksiyon zincirini sürdürmek için 'gecikmeli tetikleyiciler' kuruyor. Kötü amaçlı yazılım, tüm işlemler tamamlandığında veya zaman aşımına uğradığında sunucudaki oturumları silerek adli delilleri yok ediyor.
Detaylar ve Etkileri
Go dilinde yazılmış VShell, Cobalt Strike benzeri yeteneklere sahip bir uzaktan yönetim aracı. Daha önce Çin bağlantılı UNC5174 grubuyla ilişkilendirilen SNOWLIGHT adlı ELF yükleyici de bu kampanyada kullanılıyor. Bu gelişme, Roundcube açıklarının ilk kez bir Çinli hacker grubu tarafından kullanıldığını gösteriyor (daha önce Rus gruplar kullanıyordu). Proofpoint araştırmacıları, UNK_MassTraction'ın olgun bir araç seti ve n-gün güvenlik açıklarını benzersiz şekilde kullandığını belirterek, kuruluşların e-posta sunucularını VPN ve diğer uç cihazlar kadar sıkı savunması gerektiğini vurguluyor.