Hackers exploit Roundcube flaw to spy on academic researchers

1 minute de lecture

Mis à jour :

Espionnage informatique : Campagne ciblant les serveurs Roundcube universitaires

Un groupe de cyberespionnage lié à la Chine, baptisé « UNK_MassTraction », mène depuis mai une campagne visant des départements de physique, d’ingénierie et des institutions de recherche en Amérique du Nord. L’objectif est de s’introduire dans les réseaux internes en exploitant des vulnérabilités critiques sur les serveurs de messagerie Roundcube.

Points clés :

  • Méthode d’attaque : Envoi d’e-mails de phishing pour inciter les victimes à ouvrir des messages via une interface Roundcube vulnérable.
  • Charges utiles :
    • IceCube : un logiciel malveillant de vol d’identifiants (mots de passe, cookies, données 2FA).
    • SquareShell / VShell : des webshells et backdoors permettant l’exécution de code à distance (RCE) et un accès persistant.
  • Ciblage : Reconnaissance préalable des serveurs non mis à jour par les attaquants avant l’exploitation.

Vulnérabilités exploitées :

  • CVE-2024-42009 : Faille de type XSS (Cross-Site Scripting) permettant d’exécuter du JavaScript malveillant dans le navigateur de la victime.
  • CVE-2025-49113 : Faille de désérialisation exploitée pour déployer des webshells sur le serveur mail.

Recommandations :

  • Mises à jour immédiates : Appliquer sans délai les derniers correctifs de sécurité fournis par Roundcube pour corriger les failles CVE-2024-42009 et CVE-2025-49113.
  • Surveillance accrue : Considérer les serveurs de messagerie exposés sur Internet comme des points d’entrée critiques, nécessitant le même niveau de sécurisation et de vigilance que les passerelles VPN ou les accès distants.

Source