Suspected China-Aligned Hackers Exploit Roundcube Flaws Against Universities

1 minute de lecture

Mis à jour :

Campagne d’espionnage cybernétique contre le milieu universitaire via Roundcube

Un groupe de hackers présumé lié à la Chine, identifié sous le nom de UNK_MassTraction, cible actuellement les départements de physique et d’ingénierie d’universités américaines et canadiennes. Cette campagne utilise des courriels piégés pour exploiter des vulnérabilités connues dans le logiciel de webmail open-source Roundcube, permettant aux attaquants d’obtenir un accès persistant aux serveurs mail.

Points clés :

  • Ciblage stratégique : Les attaquants visent des administrateurs et des professeurs travaillant sur des sujets de sécurité nationale, d’astrophysique ou de physique des particules.
  • Méthodologie : Les assaillants réalisent une reconnaissance préalable des cibles pour identifier les serveurs utilisant des versions vulnérables de Roundcube.
  • Malware “IceCube” : Le code malveillant injecté via XSS dérobe les identifiants, les cookies et les jetons 2FA avant d’effacer les traces de session.
  • Persistance : Si l’installation du web shell principal (“SquareShell”) échoue, une procédure de secours déploie l’outil VShell (similaire à Cobalt Strike) ou le chargeur SNOWLIGHT.

Vulnérabilités exploitées :

  • CVE-2024-42009 (CVSS 9.3) : Une faille de type XSS (Cross-Site Scripting) permettant l’exécution de code JavaScript arbitraire dès l’ouverture du mail.
  • CVE-2025-49113 (CVSS 9.9) : Une faille critique d’exécution de code à distance (RCE) post-authentification utilisée pour prendre le contrôle total du serveur.

Recommandations :

  • Mise à jour immédiate : Appliquer les correctifs de sécurité les plus récents pour toutes les instances Roundcube afin d’éliminer les vulnérabilités de type “N-day”.
  • Sécurisation des serveurs mail : Considérer les serveurs de messagerie comme des équipements de périphérie critiques au même titre que les concentrateurs VPN.
  • Renforcement de la messagerie : Mettre en œuvre des politiques DMARC strictes pour prévenir l’usurpation de domaines et limiter le succès des campagnes de phishing.
  • Surveillance proactive : Surveiller les accès suspects vers les répertoires de plugins (notamment plugins/newmail_notifier/) et détecter les comportements anormaux liés aux sessions utilisateur (déconnexions forcées, exécutions de scripts Go/ELF).

Source