Detectan campaña que ataca servidores de correo Roundcube en universidades de EE. UU. y Canadá.

A veces, para atacar la red universitaria basta con un solo correo abierto. Especialistas de Proofpoint revelaron la campaña UNK_MassTraction, en la que un grupo supuestamente vinculado a China comprometía servidores de correo Roundcube en las facultades de física e ingeniería de universidades de Estados Unidos y Canadá.
Los ataques se registran al menos desde mayo de 2026. Fueron afectadas cátedras relacionadas con seguridad nacional, astrofísica y física de partículas. Según Proofpoint, los atacantes examinaron previamente los objetivos y eligieron servidores con versiones vulnerables de Roundcube.
El esquema comenzaba con un correo que parecía una lista de distribución o un mensaje publicitario. En su interior había código que explotaba la vulnerabilidad CVE-2024-42009 (9.4 Critical) de Roundcube, que permite ejecutar scripts arbitrarios en el navegador de la víctima. Si el destinatario abría el correo en un correo web vulnerable, el código incorporado se ejecutaba directamente en el navegador.
Después, el script malicioso descargaba un módulo posterior que Proofpoint llamó IceCube. Este accedía a la sesión de Roundcube, recopilaba nombres de usuario, contraseñas, datos de autenticación de dos factores, cookies y datos del navegador. Luego los datos se enviaban a un servidor de control.
En la fase siguiente, IceCube intentaba persistir ya en el propio servidor de correo. Para ello, el grupo explotó la vulnerabilidad CVE-2025-49113 (9.9 Critical), una falla de deserialización en Roundcube. A través de ella los atacantes instalaban la web-shell SquareShell, que permitía ejecutar comandos de forma remota en el servidor.
Los operadores de UNK_MassTraction intentaban borrar huellas. Las herramientas limpiaban el almacenamiento local del navegador, comprobaban si el nodo había sido reinfectado, modificaban la hora de modificación del archivo malicioso para que coincidiera con un módulo legítimo de Roundcube y eliminaban signos de actividad al finalizar la sesión.
Si no lograban instalar la web-shell, la cadena de ataque pasaba a un plan alternativo. El servidor descargaba un script para Linux que seleccionaba el cargador apropiado según la arquitectura del sistema y ejecutaba la puerta trasera VShell directamente en memoria. VShell puede abrir una shell interactiva y redirigir el tráfico de red, por lo que es útil para avanzar dentro de la red universitaria.
Proofpoint relaciona UNK_MassTraction con actividad de ciberespionaje china. Esa conclusión se basa en la infraestructura que probablemente usan varias agrupaciones vinculadas a China, fragmentos en idioma chino en correos tempranos, la baja cantidad de ataques dirigidos y el hecho de que el grupo utiliza VShell.
La principal conclusión de la campaña va más allá de Roundcube. En ese esquema, el servidor de correo deja de ser un simple almacén de mensajes y se convierte en una puerta de entrada a la red. Por eso hay que protegerlo con el mismo cuidado que los puntos de acceso remoto y otros sistemas externos por los que los atacantes pueden entrar en la organización.