Er is waargenomen dat een vermoedelijk aan China verbonden dreigingsactiviteitencluster misbruik maakt van Roundcube-webmailsoftware van de natuurkunde- en technische afdelingen van Amerikaanse en Canadese universiteiten als onderdeel van een nieuwe campagne.
De activiteit omvat het exploiteren van inmiddels gepatchte, kritieke beveiligingsfouten in de open-source e-mailoplossing, zoals CVE-2024-42009 (CVSS-score: 9,3), om inloggegevens over te hevelen, gevolgd door de inzet van een webshell voor permanente toegang of een bekende post-exploitatietool genaamd VShell.
Het opkomende dreigingscluster wordt onder de naam gevolgd door Proofpoint UNK_MassTractie. Het werd voor het eerst ontdekt in mei 2026 en richtte zich specifiek op bestuurders en professoren op afdelingen die banden hadden met de nationale veiligheid of op entiteiten die astrofysica en deeltjesfysica bestuderen.
“De e-mails die gericht waren op universitaire afdelingen maakten gebruik van zowel gecompromitteerde afzenders als misbruikte domeinen die kwetsbaar waren voor spoofing vanwege het lakse DMARC-beleid om de e-mails te verzenden”, schreef het bedrijfsbeveiligingsbedrijf in een technisch rapport gedeeld met The Hacker News, waarbij het gebruik van generieke lokmiddelen duidt op een “groter targetinggebied” dat buiten zijn zichtbaarheid ligt.
Hoewel de aard van de cross-site scripting (XSS)-exploit zodanig is dat de ontvanger alleen de e-mail hoeft te openen in de Roundcube-client om toegang te krijgen tot de mailserver, wordt aangenomen dat de beoogde afdelingen werden uitgekozen omdat ze allemaal versies van Roundcube draaiden die gevoelig waren voor N-day-beveiligingsfouten.
Dit geeft aan dat de bedreigingsactoren waarschijnlijk voorbereidende verkenningen naar deze doelen hebben uitgevoerd om informatie over hun omgeving te verzamelen voordat hij phishing-e-mails verzendt die een exploit voor CVE-2024-42009 activeren en willekeurige JavaScript-code uitvoeren in de context van de webbrowser van het slachtoffer.
“De acteur misbruikt waarschijnlijk Roundcube-servers als scharnierpunt om doelnetwerken binnen te dringen, en de operators hebben opzettelijk hun infectieketen zo ontworpen dat detectie wordt vermeden”, aldus Proofpoint-onderzoekers Greg Lesnewich en Mark Kelly.
De payload die wordt geleverd na de exploitatie van de XSS-fout, met de codenaam IceCube, is ontworpen om in de browser opgeslagen inloggegevens samen met tweefactorauthenticatie (2FA) en cookies over te hevelen. Het voert ook zelf verkenningen uit om informatie te verzamelen over de browsertaal, schermgrootte en formulierveldwaarden. schermgrootte en formulierveldwaarden.
De verzamelde informatie wordt door middel van een HTTP POST-verzoek naar een extern systeem verzonden. In de volgende stap gebruikt IceCube het CSRF-token van de sessie om een tweede post-geverifieerde fout in de uitvoering van externe code in Roundcube te bewapenen – CVE-2025-49113 (CVSS-score: 9,9) – met als doel voet aan de grond te krijgen in de mailserver en VSell of een webshell genaamd SquareShell in het geheugen te laten vallen.
De webshell, geïmplementeerd door middel van een PHP-gadgetshell-opdracht, is op afstand bereikbaar op het eindpunt “plugins/newmail_notifier/mail_preview.php” en maakt uitvoering van willekeurige code mogelijk. Als de installatie van de webshell echter om de een of andere reden mislukt, valt de aanvalsketen terug op een alternatief mechanisme waarbij een shellscript wordt uitgevoerd via de Roundcube-kwetsbaarheid om uiteindelijk VShell op te leveren.

De secundaire methode zou in juni 2026 zijn geïntroduceerd, toen de aanvalsketen voorheen eenvoudigweg werd beëindigd als SquareShell niet kon worden ingezet. Het shellscript fungeert als kanaal voor een ELF-lader die SNOWLIGHT wordt genoemd en is gebruikt bij andere inbraken die door Chinese tegenstanders zijn georkestreerd. Het gebruik van zowel SNOWLIGHT als VShell is in het verleden gekoppeld aan een aan China gekoppeld cluster dat werd bijgehouden als UNC5174.
Dit suggereert dat het shellscript mogelijk privé wordt gedeeld door meerdere China-nexusclusters, vergelijkbaar met ShadowPad en andere tools. De belangrijkste verantwoordelijkheid van het script is om een versie van SNOWLIGHT op te halen die compatibel is met de systeemarchitectuur van de host, en deze vervolgens uit te voeren.
“IceCube zet ook zogenaamde ‘uitgestelde triggers’ op om de voortzetting van de infectieketen te garanderen”, aldus Proofpoint. “De uitgestelde triggers controleren of de gebruiker de pagina sluit of van tabblad verandert, controleert of de muis het browservenster verlaat en de uitlogknop kaapt.”
“Als een van deze acties wordt ondernomen, haakt IceCube die gebeurtenissen vast en probeert opnieuw de exploitatie van CVE-2025-49113, en geeft aan de C&C (command-and-control) door dat de gebruiker de Roundcube-sessie heeft verlaten.”
Na het voltooien van deze acties of het tegenkomen van een time-out, vernietigt de JavaScript-malware gebruikers- en door malware geïnitieerde sessies op de server, waardoor de gebruiker uitlogt en forensisch bewijsmateriaal dat verband houdt met de aanval van de Roundcube-server wist.
VShell, geschreven in Go, is een tool voor extern beheer die mogelijkheden biedt na compromissen, vergelijkbaar met Cobalt Strike. Het is de afgelopen jaren gebruikt door verschillende aan China verbonden tegenstanders.
Deze ontwikkeling markeert de eerste keer dat een Chinese hackgroep in verband wordt gebracht met de exploitatie van Roundcube-fouten, die traditioneel worden misbruikt door door de staat gesponsorde dreigingsactoren uit Rusland.
“Hoewel de doelgerichtheid van deze campagne tot de verbeelding spreekt, is het onwaarschijnlijk dat UNK_MassTraction in de nabije toekomst diepgaande theoretische natuurkundige vragen of de Fermi-paradox zal oplossen”, concludeerden Proofpoint-onderzoekers.
“UNK_MassTraction toonde een volwassen toolkit en een uniek gebruik van n-day-kwetsbaarheden. De campagne herinnert ons eraan dat e-mailbezorging het compromitteren van de mailserver kan vergemakkelijken, en dat Chinese operators deze zullen blijven behandelen als elk ander edge-apparaat, dus verdedigers moeten prioriteit geven aan het net zo grondig verdedigen van de mailservers van hun netwerken als hun VPN-concentrators en andere externe toegangsknooppunten op hun netwerken.”