Çin ile uyumlu olduğundan şüphelenilen bir tehdit faaliyet kümesinin, yeni bir kampanyanın parçası olarak ABD ve Kanada üniversitelerinin fizik ve mühendislik bölümlerine ait Roundcube web posta yazılımından yararlandığı gözlemlendi.
Faaliyet, CVE-2024-42009 (CVSS puanı: 9,3) gibi açık kaynaklı e-posta çözümündeki artık yamalı, kritik güvenlik kusurlarının kimlik bilgilerini sifonlamak için kullanılmasını ve ardından kalıcı erişim için bir web kabuğunun konuşlandırılmasını veya VShell adı verilen bilinen bir istismar sonrası aracının kullanılmasını içeriyor.
Ortaya çıkan tehdit kümesi, Proofpoint tarafından UNK_MassTraction adı altında takip ediliyor. İlk olarak Mayıs 2026'da, özellikle ulusal güvenlik bağları olan bölümlerdeki veya astrofizik ve parçacık fiziği üzerine çalışan kuruluşlardaki yönetici ve profesörlere odaklanılarak tespit edildi.
Kurumsal güvenlik şirketi, The Hacker News ile paylaşılan teknik bir raporda, "Üniversite bölümlerini hedef alan e-postalar, hem güvenliği ihlal edilmiş gönderenleri hem de e-postaları göndermek için gevşek DMARC politikası nedeniyle sahteciliğe karşı savunmasız olan kötüye kullanılan alanları kullandı" diye yazdı ve genel yemlerin kullanımının, görünürlüğünün ötesinde "daha büyük bir hedefleme alanı" olduğunu gösterdiğini ekledi.
Teknik Analiz
Siteler arası komut dosyası çalıştırmanın (XSS) istismarının doğası, posta sunucusuna erişim sağlamak için yalnızca alıcının e-postayı Roundcube istemcisinde açmasını gerektirecek şekilde olsa da, hedeflenen departmanların, N günlük güvenlik kusurlarına duyarlı Roundcube sürümlerini çalıştırdıkları için seçildiği değerlendiriliyor.
Nasıl Önlem Alınmalı?
Bu, tehdit aktörünün, CVE-2024-42009'a yönelik bir istismarı tetikleyen ve kurbanın web tarayıcısı bağlamında rastgele JavaScript kodu çalıştıran kimlik avı e-postaları göndermeden önce ortamları hakkında bilgi toplamak için muhtemelen bu hedeflere hazırlık niteliğinde keşif gerçekleştirdiğini gösteriyor.
Proofpoint araştırmacıları Greg Lesnewich ve Mark Kelly, "Aktör muhtemelen Roundcube sunucularını hedef ağlara girmek için bir pivot noktası olarak kullanıyor ve operatörler tespit edilmekten kaçınmak için enfeksiyon zincirlerini kasıtlı olarak hazırladılar" dedi.
Sonuç ve Değerlendirme
IceCube kod adlı XSS kusurunun kullanılmasının ardından iletilen veri, iki faktörlü kimlik doğrulama (2FA) ve çerezlerle birlikte tarayıcıda saklanan kimlik bilgilerinin aktarılması için tasarlandı. Ayrıca tarayıcı dili, ekran boyutu ve form alanı değerleri hakkında bilgi toplamak için kendi keşiflerini de gerçekleştirir. ekran boyutu ve form alanı değerleri.
Toplanan bilgiler bir HTTP POST isteği aracılığıyla harici bir sisteme gönderilir. Bir sonraki adımda IceCube, posta sunucusunda bir dayanak elde etmek ve hafızada VShell'i veya SquareShell olarak adlandırılan bir web kabuğunu bırakmak amacıyla Roundcube'deki ikinci bir kimlik doğrulama sonrası uzaktan kod yürütme kusurunu (CVE-2025-49113 (CVSS puanı: 9,9)) silahlandırmak için oturumun CSRF belirtecinden yararlanıyor.
Detaylar ve Etkileri
Bir PHP gadget kabuk komutu aracılığıyla konuşlandırılan web kabuğuna "plugins/newmail_notifier/mail_preview.php" uç noktasından uzaktan erişilebilir ve isteğe bağlı kod yürütülmesine olanak sağlar. Bununla birlikte, web kabuğu kurulumu herhangi bir nedenden dolayı başarısız olursa, saldırı zinciri, sonuçta VShell'i sunmak için Roundcube güvenlik açığı aracılığıyla bir kabuk komut dosyasının çalıştırıldığı alternatif bir mekanizmaya geri döner.
İkincil yöntemin Haziran 2026'da tanıtıldığı söyleniyor; daha önce SquareShell'in konuşlandırılmaması durumunda saldırı zinciri basitçe çıkıyordu. Kabuk betiği, SNOWLIGHT olarak adlandırılan bir ELF yükleyicisi için bir kanal görevi görüyor ve Çinli düşmanlar tarafından düzenlenen diğer izinsiz girişlerde de kullanılıyor. Hem SNOWLIGHT hem de VShell'in kullanımı, geçmişte UNC5174 olarak takip edilen Çin bağlantılı bir kümeyle ilişkilendirilmişti.
Bu, kabuk komut dosyasının muhtemelen ShadowPad ve diğer araçlara benzer şekilde birden fazla Çin-nexus kümesi tarafından özel bir kapasitede paylaşıldığını gösteriyor. Komut dosyasının ana sorumluluğu, SNOWLIGHT'ın ana bilgisayarın sistem mimarisiyle uyumlu bir sürümünü getirmek ve ardından onu çalıştırmaktır.
Proofpoint, "IceCube ayrıca enfeksiyon zincirinin devamını sağlamak için 'ertelenmiş tetikleyiciler' olarak adlandırdığı şeyi de kuruyor." dedi. "Ertelenmiş tetikleyiciler, kullanıcının sayfayı kapatmasını veya sekmeleri değiştirmesini izler, farenin tarayıcı penceresinden çıkıp çıkmadığını kontrol eder ve çıkış düğmesini ele geçirir."
Gelecekte Ne Bekleniyor?
"Bu eylemlerden herhangi biri gerçekleştirilirse, IceCube bu olayları tespit eder ve CVE-2025-49113'ten yararlanmayı yeniden dener ve kullanıcının Roundcube oturumundan ayrıldığını C&C'ye [komut ve kontrol] işaret eder."
Bu eylemleri tamamladıktan veya zaman aşımına uğradıktan sonra, JavaScript kötü amaçlı yazılımı, sunucuda kullanıcı ve kötü amaçlı yazılım tarafından başlatılan oturumlar, kullanıcının oturumu kapatmasına ve Roundcube sunucusundaki güvenlik ihlaliyle ilişkili adli kanıtları silmesine neden olur.
Sistem Güvenliği
Go'da yazılan VShell, Cobalt Strike'a benzer uzlaşma sonrası yetenekler sağlayan bir uzaktan yönetim aracıdır. Son yıllarda Çin'e bağlı çeşitli düşmanlar tarafından kullanıldı.
Bu gelişme, Çinli bir bilgisayar korsanlığı grubunun geleneksel olarak Rusya'daki devlet destekli tehdit aktörleri tarafından kötüye kullanılan Roundcube kusurlarından yararlanmasına ilk kez işaret ediyor.
Uzmanların Görüşleri
Proofpoint araştırmacıları şu sonuca vardı: "Bu kampanyanın hedeflemesi hayal gücünü cezbetse de, UNK_MassTraction'ın yakın gelecekte derin teorik fizik sorularını veya Fermi Paradoksunu çözmesi pek olası değil."
"UNK_MassTraction, olgun bir araç seti ve n günlük güvenlik açıklarının benzersiz kullanımını sergiledi. Kampanya, e-posta dağıtımının posta sunucusunun ele geçirilmesini kolaylaştırabileceğini ve Çinli operatörlerin onlara diğer herhangi bir uç cihaz gibi davranmaya devam edeceğini, dolayısıyla savunucuların, ağlarındaki VPN yoğunlaştırıcılarını ve diğer uzaktan erişim düğümlerini yaptıkları gibi, ağlarının posta sunucularını da kapsamlı bir şekilde savunmaya öncelik vermeleri gerektiğini hatırlatıyor."