Eine mutmaßlich mit China verbundene Gruppierung, die von Proofpoint unter dem Namen UNK_MassTraction verfolgt wird, führt seit Mai 2026 zielgerichtete Angriffe auf Roundcube-Mailserver der Physik- und Ingenieurfakultäten von Universitäten in den USA und Kanada durch. Die Kampagne nutzt zwei kritische Schwachstellen — CVE-2024-42009 (CVSS 9.3) und CVE-2025-49113 (CVSS 9.9) — aus, um Zugangsdaten zu stehlen, Webshells zu installieren und das Post-Exploitation-Tool VShell zu installieren. Administratoren von Roundcube müssen umgehend die Versionen ihrer Server überprüfen und verfügbare Patches einspielen.
Exploits-Kette: vom Öffnen der E-Mail zur Serverübernahme
Der Angriff beginnt mit Phishing-E-Mails, die von kompromittierten Konten oder über Domains mit fehlerhaft konfigurierter DMARC-Policy versendet werden, was das Spoofing des Absenders ermöglicht. Ein zentrales Merkmal: Damit der Exploit ausgelöst wird, genügt es, die E-Mail im Roundcube-Client zu öffnen. Die Schwachstelle CVE-2024-42009 ist eine XSS-Schwachstelle mit einem CVSS-Score von 9.3, die die Ausführung beliebigen JavaScript-Codes im Browser-Kontext des Opfers erlaubt.
Nach Angaben der Forschenden führten die Angreifer im Vorfeld Aufklärung bei den Zielorganisationen durch, um zu ermitteln, welche von ihnen verwundbare Roundcube-Versionen einsetzen. Dies weist auf ein hohes Maß an Vorbereitung und eine klar ausgerichtete Kampagne hin.
Die IceCube-Payload
Nach Ausnutzung der XSS-Schwachstelle wird eine JavaScript-Payload mit dem Codenamen IceCube nachgeladen. Ihre Funktionen umfassen:
- Diebstahl im Browser gespeicherter Zugangsdaten, einschließlich Daten zur Zwei-Faktor-Authentifizierung und Cookies
- Sammlung von Umgebungsinformationen: Browsersprache, Bildschirmauflösung, Werte von Formularfeldern
- Exfiltration der gesammelten Daten an einen externen Server per HTTP-POST-Request
- Verwendung des CSRF-Tokens der Sitzung zur Ausnutzung der zweiten Schwachstelle — CVE-2025-49113 (CVSS 9.9) — die nach der Authentifizierung Remote Code Execution ermöglicht
Bemerkenswert ist die Implementierung eines Mechanismus „verzögerter Trigger“: IceCube überwacht das Schließen der Seite, das Wechseln von Tabs, das Verlassen des Mauszeigers aus dem Browserfenster und fängt den Logout-Button ab. Bei jedem dieser Ereignisse versucht die Malware erneut, CVE-2025-49113 auszunutzen, und benachrichtigt den Command-and-Control-Server über das Ende der Benutzersitzung.
Persistenz auf dem Server: SquareShell und VShell
Die Ausnutzung von CVE-2025-49113 zielt darauf ab, dauerhaften Zugriff auf den Mailserver zu erlangen. Die primäre Methode ist das Ausrollen der Webshell SquareShell im Speicher, abrufbar unter folgendem Pfad:
plugins/newmail_notifier/mail_preview.php
Diese Webshell ermöglicht die Ausführung beliebigen Codes auf dem Server. Falls ihre Installation fehlschlägt, kommt seit Juni 2026 ein Fallback-Mechanismus zum Einsatz: Ein Shell-Skript wird ausgeführt, das den ELF-Loader SNOWLIGHT herunterlädt, der mit der Architektur des Zielsystems kompatibel ist. SNOWLIGHT liefert wiederum VShell aus — ein Remote-Administration-Tool, geschrieben in Go, das funktional mit Cobalt Strike vergleichbar ist.
Nach Angaben von Forschenden von NVISO bietet VShell ein breites Spektrum an Post-Exploitation-Funktionen und wurde von verschiedenen Gruppierungen eingesetzt, die mutmaßlich mit China in Verbindung stehen.
Anti-Forensik
Nach Abschluss aller Aktionen oder beim Erreichen eines Timeouts zerstört IceCube sowohl die Benutzersitzungen als auch die von der Malware angelegten Sitzungen auf dem Server. Dies führt zu einem erzwungenen Logout des Nutzers und entfernt Spuren der Kompromittierung vom Roundcube-Server — eine gezielte Maßnahme zur Erschwerung forensischer Untersuchungen.
Bedrohungskontext und Attribution
Nach Erkenntnissen von Proofpoint zielt die Kampagne gezielt auf Administratoren und Professoren von Fachbereichen, die mit nationaler Sicherheit befasst sind, sowie auf solche mit Schwerpunkten in Astrophysik und Teilchenphysik. Der Einsatz generischer Köder in den Phishing-E-Mails deutet laut Bericht darauf hin, dass die Angriffsfläche über die unmittelbare Sicht der Forschenden hinausgeht.
Die Forschenden gehen davon aus, dass die Angreifer Roundcube-Mailserver als Einstiegspunkt in die Zielnetzwerke betrachten — ähnlich wie VPN-Konzentratoren und andere Perimetergeräte ausgenutzt werden. Die Infektionskette ist bewusst so entworfen, dass sie eine Erkennung möglichst umgeht.
Es ist zu betonen, dass die Zuordnung der Kampagne zu chinesischen Gruppen auf den Daten eines einzelnen Vendors basiert und nicht durch unabhängige Quellen bestätigt ist. Die Verbindung der Werkzeuge SNOWLIGHT und VShell mit konkreten Aktivitätsclustern bedarf weiterer Verifikation.
Auswirkungsanalyse
Am stärksten gefährdet sind Organisationen, die ungepatchte Roundcube-Instanzen betreiben — vor allem Bildungseinrichtungen, die traditionell eine heterogene IT-Infrastruktur und begrenzte Ressourcen für Cybersicherheit aufweisen. Die Kombination zweier kritischer Schwachstellen mit CVSS-Scores von 9.3 und 9.9 macht diese Angriffskette außerordentlich gefährlich: Zwischen dem Öffnen einer E-Mail und der vollständigen Kontrolle über den Server können nur Sekunden liegen.
Eine Kompromittierung des Mailservers verschafft Angreifern Zugriff auf die gesamte E-Mail-Kommunikation der Organisation, was bei Fachbereichen mit Bezügen zur nationalen Sicherheit das Risiko der Offenlegung sensibler Informationen deutlich erhöht.
Empfehlungen zum Schutz
- Aktualisieren Sie Roundcube auf die neueste Version, in der CVE-2024-42009 und CVE-2025-49113 behoben sind. Für beide Schwachstellen sind Patches verfügbar — deren Einspielen ist die vordringlichste Maßnahme.
- Prüfen Sie auf Indikatoren einer Kompromittierung: Untersuchen Sie insbesondere die Datei
plugins/newmail_notifier/mail_preview.php— deren Vorhandensein oder Veränderung kann auf eine ausgebrachte SquareShell-Webshell hinweisen. - Konfigurieren Sie eine DMARC-Policy mit dem Modus
rejectoderquarantine, um das Spoofing von Absendern über Ihre Domains zu verhindern. - Implementieren Sie Monitoring für ausgehende HTTP-POST-Requests vom Mailserver zu externen Hosts — dies ist der Hauptkanal zur Datenexfiltration in der beschriebenen Kampagne.
- Führen Sie einen Audit der Sitzungen auf dem Mailserver durch: Ungewöhnlich massenhaft beendete Sitzungen können auf die Aktivität der Anti-Forensik-Mechanismen von IceCube hindeuten.
- Erwägen Sie eine Netzsegmentierung, die die Nutzung des Mailservers als Einstiegspunkt in die übrige Infrastruktur einschränkt.
Die Kampagne UNK_MassTraction zeigt, dass Mailserver weiterhin ein vollwertiger Angriffsvektor für das Eindringen in Netzwerke sind — und nicht nur ein Transportmittel für Phishing. Organisationen, die Roundcube einsetzen, sollten ihre Server umgehend auf aktuelle Versionen aktualisieren und das Vorhandensein der Datei plugins/newmail_notifier/mail_preview.php als potenziellen Indikator einer Kompromittierung prüfen. Die Mail-Infrastruktur verdient denselben Schutzgrad wie VPN-Gateways und andere Perimetergeräte.