Предположительно связанная с Китаем группировка, отслеживаемая компанией Proofpoint как UNK_MassTraction, с мая 2026 года проводит целенаправленные атаки на почтовые серверы Roundcube физических и инженерных факультетов университетов США и Канады. Кампания эксплуатирует две критические уязвимости — CVE-2024-42009 (CVSS 9.3) и CVE-2025-49113 (CVSS 9.9) — для кражи учётных данных, развёртывания веб-оболочек и установки инструмента постэксплуатации VShell. Администраторам Roundcube необходимо немедленно проверить версии серверов и применить доступные патчи.
Цепочка эксплуатации: от открытия письма до контроля сервера
Атака начинается с фишинговых писем, отправленных с скомпрометированных учётных записей или через домены с некорректно настроенной политикой DMARC, что позволяет подделывать отправителя. Ключевая особенность — для срабатывания эксплойта достаточно открыть письмо в клиенте Roundcube. Уязвимость CVE-2024-42009 представляет собой XSS-уязвимость с оценкой CVSS 9.3, позволяющую выполнить произвольный JavaScript-код в контексте браузера жертвы.
По данным исследователей, атакующие предварительно проводили разведку целевых организаций, чтобы определить, какие из них используют уязвимые версии Roundcube. Это указывает на высокий уровень подготовки и целенаправленность кампании.
Полезная нагрузка IceCube
После эксплуатации XSS-уязвимости доставляется JavaScript-полезная нагрузка, получившая кодовое название IceCube. Её функции включают:
- Кражу учётных данных, сохранённых в браузере, включая данные двухфакторной аутентификации и файлы cookie
- Сбор информации о среде: язык браузера, размер экрана, значения полей форм
- Эксфильтрацию собранных данных на внешний сервер через HTTP POST-запрос
- Использование CSRF-токена сессии для эксплуатации второй уязвимости — CVE-2025-49113 (CVSS 9.9) — обеспечивающей удалённое выполнение кода после аутентификации
Примечательна реализация механизма «отложенных триггеров»: IceCube отслеживает закрытие страницы, переключение вкладок, выход курсора за пределы окна браузера и перехватывает кнопку выхода из системы. При любом из этих событий вредонос повторно пытается эксплуатировать CVE-2025-49113 и уведомляет командный сервер о завершении сессии пользователя.
Закрепление на сервере: SquareShell и VShell
Эксплуатация CVE-2025-49113 направлена на получение постоянного доступа к почтовому серверу. Основной метод — развёртывание веб-оболочки SquareShell в памяти, доступной по пути:
plugins/newmail_notifier/mail_preview.php
Эта веб-оболочка обеспечивает произвольное выполнение кода на сервере. Если её установка не удаётся, с июня 2026 года используется резервный механизм: выполняется shell-скрипт, загружающий ELF-загрузчик SNOWLIGHT, совместимый с архитектурой целевой системы. SNOWLIGHT, в свою очередь, доставляет VShell — инструмент удалённого администрирования, написанный на Go, функционально аналогичный Cobalt Strike.
По данным исследователей NVISO, VShell предоставляет широкий набор возможностей постэксплуатации и использовался различными группировками, предположительно связанными с Китаем.
Антифорензика
По завершении всех операций или при истечении тайм-аута IceCube уничтожает как пользовательские, так и созданные вредоносом сессии на сервере. Это приводит к принудительному выходу пользователя из системы и удалению следов компрометации с сервера Roundcube — целенаправленная мера противодействия расследованию.
Контекст угрозы и атрибуция
По данным исследователей Proofpoint, кампания целенаправленно нацелена на администраторов и профессоров факультетов, связанных с национальной безопасностью, а также занимающихся астрофизикой и физикой элементарных частиц. Использование общих приманок в фишинговых письмах, как сообщается, указывает на более широкий охват целей за пределами видимости исследователей.
Исследователи оценивают, что атакующие рассматривают почтовые серверы Roundcube как точку входа в целевые сети — аналогично тому, как эксплуатируются VPN-концентраторы и другие пограничные устройства. Цепочка заражения целенаправленно спроектирована для уклонения от обнаружения.
Следует отметить, что атрибуция кампании к китайским группировкам основана на данных одного вендора и не подтверждена независимыми источниками. Связь инструментария SNOWLIGHT и VShell с конкретными кластерами активности требует дополнительной верификации.
Оценка воздействия
Наибольшему риску подвержены организации, эксплуатирующие необновлённые экземпляры Roundcube, в первую очередь — образовательные учреждения, которые традиционно отличаются неоднородной ИТ-инфраструктурой и ограниченными ресурсами на кибербезопасность. Комбинация двух критических уязвимостей с оценками CVSS 9.3 и 9.9 делает эту цепочку атаки исключительно опасной: от открытия письма до полного контроля над сервером может пройти считанные секунды.
Компрометация почтового сервера даёт атакующим доступ ко всей переписке организации, что в случае факультетов с связями в области национальной безопасности создаёт риски утечки чувствительной информации.
Рекомендации по защите
- Обновите Roundcube до последней версии, устраняющей CVE-2024-42009 и CVE-2025-49113. Обе уязвимости имеют исправления — их применение является первоочередной мерой.
- Проверьте наличие индикаторов компрометации: обратите внимание на файл
plugins/newmail_notifier/mail_preview.php— его наличие или модификация может указывать на развёрнутую веб-оболочку SquareShell. - Настройте DMARC-политику с режимом
rejectилиquarantineдля предотвращения подделки отправителей через ваши домены. - Внедрите мониторинг исходящих HTTP POST-запросов с почтового сервера к внешним узлам — это основной канал эксфильтрации данных в описанной кампании.
- Проведите аудит сессий на почтовом сервере: аномальные массовые завершения сессий могут указывать на активность антифорензических механизмов IceCube.
- Рассмотрите сегментацию сети, ограничивающую возможность использования почтового сервера как точки входа в остальную инфраструктуру.
Кампания UNK_MassTraction демонстрирует, что почтовые серверы остаются полноценным вектором проникновения в сеть, а не только средством доставки фишинга. Организациям, использующим Roundcube, следует немедленно обновить серверы до актуальных версий и проверить наличие файла plugins/newmail_notifier/mail_preview.php как потенциального индикатора компрометации. Почтовая инфраструктура заслуживает того же уровня защиты, что и VPN-шлюзы и другие пограничные устройства.