Suspected China-Aligned Hackers Exploit Roundcube Flaws Against Universities
Mis à jour :
Campagne d’espionnage cybernétique contre le milieu universitaire via Roundcube
Un groupe de hackers présumé lié à la Chine, identifié sous le nom de UNK_MassTraction, cible actuellement les départements de physique et d’ingénierie d’universités américaines et canadiennes. Cette campagne utilise des courriels piégés pour exploiter des vulnérabilités connues dans le logiciel de webmail open-source Roundcube, permettant aux attaquants d’obtenir un accès persistant aux serveurs mail.
Points clés :
- Ciblage stratégique : Les attaquants visent des administrateurs et des professeurs travaillant sur des sujets de sécurité nationale, d’astrophysique ou de physique des particules.
- Méthodologie : Les assaillants réalisent une reconnaissance préalable des cibles pour identifier les serveurs utilisant des versions vulnérables de Roundcube.
- Malware “IceCube” : Le code malveillant injecté via XSS dérobe les identifiants, les cookies et les jetons 2FA avant d’effacer les traces de session.
- Persistance : Si l’installation du web shell principal (“SquareShell”) échoue, une procédure de secours déploie l’outil VShell (similaire à Cobalt Strike) ou le chargeur SNOWLIGHT.
Vulnérabilités exploitées :
- CVE-2024-42009 (CVSS 9.3) : Une faille de type XSS (Cross-Site Scripting) permettant l’exécution de code JavaScript arbitraire dès l’ouverture du mail.
- CVE-2025-49113 (CVSS 9.9) : Une faille critique d’exécution de code à distance (RCE) post-authentification utilisée pour prendre le contrôle total du serveur.
Recommandations :
- Mise à jour immédiate : Appliquer les correctifs de sécurité les plus récents pour toutes les instances Roundcube afin d’éliminer les vulnérabilités de type “N-day”.
- Sécurisation des serveurs mail : Considérer les serveurs de messagerie comme des équipements de périphérie critiques au même titre que les concentrateurs VPN.
- Renforcement de la messagerie : Mettre en œuvre des politiques DMARC strictes pour prévenir l’usurpation de domaines et limiter le succès des campagnes de phishing.
- Surveillance proactive : Surveiller les accès suspects vers les répertoires de plugins (notamment
plugins/newmail_notifier/) et détecter les comportements anormaux liés aux sessions utilisateur (déconnexions forcées, exécutions de scripts Go/ELF).
