Mastodon Mastodon Mastodon Mastodon

Campaña UNK_MassTraction contra servidores Roundcube en universidades

Foto del autor

CyberSecureFox Editorial Team

Publicado:

Un grupo presuntamente vinculado a China, rastreado por Proofpoint como UNK_MassTraction, lleva desde mayo de 2026 realizando ataques dirigidos contra servidores de correo Roundcube de facultades de física e ingeniería de universidades de EE. UU. y Canadá. La campaña explota dos vulnerabilidades críticas — CVE-2024-42009 (CVSS 9.3) y CVE-2025-49113 (CVSS 9.9) — para robar credenciales, desplegar web shells e instalar la herramienta de post-explotación VShell. Los administradores de Roundcube deben comprobar de inmediato las versiones de sus servidores y aplicar los parches disponibles.

Cadena de explotación: de abrir el mensaje al control del servidor

El ataque comienza con correos de phishing enviados desde cuentas comprometidas o a través de dominios con una política DMARC mal configurada, lo que permite suplantar al remitente. La característica clave es que para que el exploit se active basta con abrir el mensaje en el cliente Roundcube. La vulnerabilidad CVE-2024-42009 es una vulnerabilidad de tipo XSS con una puntuación CVSS de 9.3, que permite ejecutar código JavaScript arbitrario en el contexto del navegador de la víctima.

Según los investigadores, los atacantes realizaban previamente labores de reconocimiento de las organizaciones objetivo para determinar cuáles utilizaban versiones vulnerables de Roundcube. Esto apunta a un alto nivel de preparación y a la naturaleza altamente dirigida de la campaña.

Carga útil IceCube

Tras explotar la vulnerabilidad XSS se entrega una carga útil en JavaScript, con nombre en clave IceCube. Sus funciones incluyen:

  • Robo de credenciales almacenadas en el navegador, incluidos datos de autenticación de doble factor y cookies
  • Recopilación de información sobre el entorno: idioma del navegador, resolución de pantalla, valores de campos de formularios
  • Exfiltración de los datos recopilados a un servidor externo mediante una petición HTTP POST
  • Uso del token CSRF de la sesión para explotar la segunda vulnerabilidad — CVE-2025-49113 (CVSS 9.9) — que permite la ejecución remota de código tras la autenticación

Resulta llamativa la implementación de un mecanismo de «disparadores diferidos»: IceCube monitoriza el cierre de la página, el cambio de pestañas, la salida del cursor fuera de la ventana del navegador y también intercepta el botón de cierre de sesión. Ante cualquiera de estos eventos, el malware vuelve a intentar explotar CVE-2025-49113 y notifica al servidor de mando y control sobre la finalización de la sesión del usuario.

Persistencia en el servidor: SquareShell y VShell

La explotación de CVE-2025-49113 tiene como objetivo obtener acceso persistente al servidor de correo. El método principal es el despliegue de la web shell SquareShell en memoria, accesible en la ruta:

plugins/newmail_notifier/mail_preview.php

Esta web shell permite la ejecución arbitraria de código en el servidor. Si su instalación no tiene éxito, desde junio de 2026 se recurre a un mecanismo de reserva: se ejecuta un script de shell que descarga el cargador ELF SNOWLIGHT, compatible con la arquitectura del sistema objetivo. SNOWLIGHT, a su vez, entrega VShell, una herramienta de administración remota escrita en Go y funcionalmente análoga a Cobalt Strike.

Según los investigadores de NVISO, VShell ofrece un amplio conjunto de capacidades de post-explotación y ha sido utilizada por distintos grupos presuntamente vinculados a China.

Antiforense

Tras completar todas las operaciones, o al expirar el tiempo de espera, IceCube elimina tanto las sesiones de usuario como las creadas por el propio malware en el servidor. Esto provoca el cierre forzoso de la sesión del usuario y la eliminación de los indicios de compromiso en el servidor Roundcube, una medida deliberada para dificultar la labor de investigación.

Contexto de la amenaza y atribución

Según los investigadores de Proofpoint, la campaña se dirige específicamente a administradores y profesores de facultades relacionadas con la seguridad nacional, así como a quienes se dedican a la astrofísica y la física de partículas elementales. El uso de señuelos genéricos en los correos de phishing, según se informa, indica un alcance de objetivos más amplio, fuera del campo de visión de los investigadores.

Los investigadores consideran que los atacantes ven los servidores de correo Roundcube como un punto de entrada a las redes objetivo, de forma similar a cómo se explotan los concentradores VPN y otros dispositivos de perímetro. La cadena de infección está diseñada deliberadamente para evadir la detección.

Debe señalarse que la atribución de la campaña a grupos chinos se basa en los datos de un único proveedor y no ha sido confirmada por fuentes independientes. La vinculación de las herramientas SNOWLIGHT y VShell con clústeres de actividad concretos requiere verificación adicional.

Evaluación del impacto

Las organizaciones más expuestas son aquellas que operan instancias sin actualizar de Roundcube, en primer lugar las instituciones educativas, que tradicionalmente presentan una infraestructura de TI heterogénea y recursos limitados para ciberseguridad. La combinación de dos vulnerabilidades críticas, con puntuaciones CVSS de 9.3 y 9.9, hace que esta cadena de ataque sea excepcionalmente peligrosa: desde que se abre el mensaje hasta que se logra el control total del servidor pueden transcurrir apenas unos segundos.

El compromiso del servidor de correo otorga a los atacantes acceso a toda la correspondencia de la organización, lo que en el caso de facultades con vínculos en el ámbito de la seguridad nacional crea riesgos de filtración de información sensible.

Recomendaciones de protección

  1. Actualice Roundcube a la última versión que corrija CVE-2024-42009 y CVE-2025-49113. Ambas vulnerabilidades cuentan con parches; su aplicación es la medida prioritaria.
  2. Verifique la presencia de indicadores de compromiso: preste atención al archivo plugins/newmail_notifier/mail_preview.php; su existencia o modificación puede indicar el despliegue de la web shell SquareShell.
  3. Configure la política DMARC en modo reject o quarantine para impedir la suplantación de remitentes a través de sus dominios.
  4. Implemente monitorización de peticiones HTTP POST salientes desde el servidor de correo hacia nodos externos; este es el canal principal de exfiltración de datos en la campaña descrita.
  5. Realice una auditoría de sesiones en el servidor de correo: finalizaciones masivas anómalas de sesiones pueden indicar actividad de los mecanismos antiforenses de IceCube.
  6. Considere la segmentación de la red para limitar la posibilidad de utilizar el servidor de correo como punto de entrada al resto de la infraestructura.

La campaña UNK_MassTraction demuestra que los servidores de correo siguen siendo un vector plenamente válido de penetración en la red, y no solo un medio de entrega de phishing. Las organizaciones que utilizan Roundcube deben actualizar de inmediato sus servidores a las versiones actuales y comprobar la existencia del archivo plugins/newmail_notifier/mail_preview.php como posible indicador de compromiso. La infraestructura de correo merece el mismo nivel de protección que los gateways VPN y otros dispositivos de perímetro.


CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.