Ймовірно пов’язане з Китаєм угруповання, яке компанія Proofpoint відстежує як UNK_MassTraction, з травня 2026 року здійснює цілеспрямовані атаки на поштові сервери Roundcube фізичних та інженерних факультетів університетів США і Канади. Кампанія експлуатує дві критичні вразливості — CVE-2024-42009 (CVSS 9.3) та CVE-2025-49113 (CVSS 9.9) — для викрадення облікових даних, розгортання веб-оболонок і встановлення інструмента постексплуатації VShell. Адміністраторам Roundcube необхідно негайно перевірити версії серверів і застосувати доступні патчі.
Ланцюжок експлуатації: від відкриття листа до контролю над сервером
Атака починається з фішингових листів, надісланих зі скомпрометованих облікових записів або через домени з некоректно налаштованою політикою DMARC, що дає змогу підробляти адресу відправника. Ключова особливість — для спрацювання експлойта достатньо відкрити лист у клієнті Roundcube. Вразливість CVE-2024-42009 є XSS-вразливістю з оцінкою CVSS 9.3, яка дає змогу виконати довільний JavaScript-код у контексті браузера жертви.
За даними дослідників, зловмисники попередньо проводили розвідку цільових організацій, щоб визначити, які з них використовують уразливі версії Roundcube. Це вказує на високий рівень підготовки та цілеспрямованість кампанії.
Корисне навантаження IceCube
Після експлуатації XSS-вразливості доставляється JavaScript-корисне навантаження, що отримало кодову назву IceCube. Його функції включають:
- Викрадення облікових даних, збережених у браузері, включно з даними двофакторної автентифікації та файлами cookie
- Збір інформації про середовище: мову браузера, розмір екрана, значення полів форм
- Ексфільтрацію зібраних даних на зовнішній сервер через HTTP POST-запит
- Використання CSRF-токена сесії для експлуатації другої вразливості — CVE-2025-49113 (CVSS 9.9), що забезпечує віддалене виконання коду після автентифікації
Примітною є реалізація механізму «відкладених тригерів»: IceCube відстежує закриття сторінки, перемикання вкладок, вихід курсора за межі вікна браузера та перехоплює кнопку виходу із системи. За будь-якої з цих подій шкідливе ПЗ повторно намагається експлуатувати CVE-2025-49113 і сповіщає командний сервер про завершення сесії користувача.
Закріплення на сервері: SquareShell і VShell
Експлуатація CVE-2025-49113 спрямована на отримання постійного доступу до поштового сервера. Основний метод — розгортання веб-оболонки SquareShell у пам’яті, доступної за шляхом:
plugins/newmail_notifier/mail_preview.php
Ця веб-оболонка забезпечує довільне виконання коду на сервері. Якщо її встановлення не вдається, із червня 2026 року використовується резервний механізм: виконується shell-скрипт, який завантажує ELF-завантажувач SNOWLIGHT, сумісний з архітектурою цільової системи. SNOWLIGHT, своєю чергою, доставляє VShell — інструмент віддаленого адміністрування, написаний на Go, функціонально подібний до Cobalt Strike.
За даними дослідників NVISO, VShell надає широкий набір можливостей постексплуатації та використовувався різними угрупованнями, ймовірно пов’язаними з Китаєм.
Антифорензіка
Після завершення всіх операцій або зі спливом тайм-ауту IceCube знищує як користувацькі, так і створені шкідником сесії на сервері. Це призводить до примусового виходу користувача із системи та видалення слідів компрометації з сервера Roundcube — цілеспрямований захід протидії розслідуванню.
Контекст загрози та атрибуція
За даними дослідників Proofpoint, кампанія цілеспрямовано націлена на адміністраторів і професорів факультетів, пов’язаних із національною безпекою, а також тих, хто займається астрофізикою та фізикою елементарних частинок. Використання загальних приманок у фішингових листах, як повідомляється, вказує на ширший охоплення цілей поза межами видимості дослідників.
Дослідники оцінюють, що зловмисники розглядають поштові сервери Roundcube як точку входу до цільових мереж — подібно до того, як експлуатуються VPN-концентратори та інші прикордонні пристрої. Ланцюжок зараження цілеспрямовано спроєктований для ухилення від виявлення.
Слід зазначити, що атрибуція кампанії китайським угрупованням ґрунтується на даних одного вендора й не підтверджена незалежними джерелами. Зв’язок інструментарію SNOWLIGHT і VShell з конкретними кластерами активності потребує додаткової верифікації.
Оцінка впливу
Найбільшому ризику піддаються організації, які експлуатують неоновлені екземпляри Roundcube, насамперед — освітні установи, що традиційно вирізняються неоднорідною ІТ-інфраструктурою та обмеженими ресурсами на кібербезпеку. Поєднання двох критичних вразливостей з оцінками CVSS 9.3 і 9.9 робить цей ланцюжок атаки вкрай небезпечним: від відкриття листа до повного контролю над сервером можуть минути лічені секунди.
Компрометація поштового сервера дає зловмисникам доступ до всієї кореспонденції організації, що у випадку факультетів із дотичністю до національної безпеки створює ризики витоку чутливої інформації.
Рекомендації із захисту
- Оновіть Roundcube до останньої версії, яка усуває CVE-2024-42009 і CVE-2025-49113. Для обох вразливостей уже доступні виправлення — їхнє застосування є першочерговим кроком.
- Перевірте наявність індикаторів компрометації: зверніть увагу на файл
plugins/newmail_notifier/mail_preview.php— його наявність або модифікація може вказувати на розгорнуту веб-оболонку SquareShell. - Налаштуйте політику DMARC у режимі
rejectабоquarantine, щоб запобігти підробці відправників через ваші домени. - Упровадьте моніторинг вихідних HTTP POST-запитів із поштового сервера до зовнішніх вузлів — це основний канал ексфільтрації даних в описаній кампанії.
- Проведіть аудит сесій на поштовому сервері: аномальні масові завершення сесій можуть вказувати на активність антифорензічних механізмів IceCube.
- Розгляньте сегментацію мережі, яка обмежуватиме можливість використання поштового сервера як точки входу до решти інфраструктури.
Кампанія UNK_MassTraction демонструє, що поштові сервери залишаються повноцінним вектором проникнення в мережу, а не лише засобом доставки фішингу. Організаціям, які використовують Roundcube, слід негайно оновити сервери до актуальних версій і перевірити наявність файлу plugins/newmail_notifier/mail_preview.php як потенційного індикатора компрометації. Поштова інфраструктура заслуговує на такий самий рівень захисту, як і VPN-шлюзи та інші прикордонні пристрої.