Атака на Roundcube: фишинг, XSS и веб-шелл SquareShell
UNK_MassTraction: целевой шпионаж через почтовые серверы Roundcube в исследовательских университетах
С мая 2026 года исследовательская команда Proofpoint Threat Research фиксирует активность кластера злоумышленников, получившего идентификатор UNK_MassTraction. Специалисты связывают его с группировкой, аффилированной с Китаем. Основной фокус атак — физические и инженерные подразделения высших учебных заведений США и Канады, которые имеют прямые или косвенные связи с программами национальной безопасности и передовыми научными разработками. В качестве главной точки входа злоумышленники используют уязвимые почтовые серверы Roundcube.
Вектор проникновения и социальная инженерия
Кампания начинается с доставки фишинговых писем. Для рассылки используются скомпрометированные учётные записи легитимных организаций или поддельные домены. Сообщения тщательно стилизуются под безобидную деловую переписку, что значительно повышает вероятность взаимодействия со стороны целевых пользователей. Ключевой особенностью является эксплуатация уязвимости CVE-2024-42009 — ошибки типа Cross-Site Scripting (XSS) в Roundcube.
Эксплуатация CVE-2024-42009 и запуск IceCube
После открытия вредоносного письма в уязвимом экземпляре Roundcube активируется встроенный JavaScript-код. Он инициирует загрузку вторичной вредоносной нагрузки, получившей название IceCube. На этом этапе злоумышленники демонстрируют продвинутое владение техниками обхода защитных механизмов:
- Обход ограничений iframe sandbox через DOM traversal позволяет получить полный доступ к DOM-дереву и активным сессиям аутентификации Roundcube.
- После захвата сессионных данных IceCube извлекает имена пользователей, пароли и даже Multi-Factor Authentication (MFA) tokens.
IceCube: эксфильтрация и развёртывание SquareShell
Вслед за кражей учётных данных нагрузка IceCube переходит к этапу закрепления. Используя уязвимость deserialization vulnerability (CVE-2025-49113), вредонос разворачивает на почтовом сервере веб-шелл, названный SquareShell. Этот инструмент обеспечивает устойчивый remote code execution через различные функции PHP. Для маскировки SquareShell имитирует поведение легитимных плагинов Roundcube, что существенно затрудняет обнаружение.
Встроенные в IceCube процедуры logging and cleanup свидетельствуют о высокой оперативной дисциплине атакующей группы. Механизмы журналирования и автоматической очистки следов позволяют скрывать компрометацию и поддерживать персистентность заражения даже в случаях частичного раскрытия.
Расширенная инфраструктура: VShell и скрытые VPS-сети
Если первичное развёртывание веб-шелла по каким-либо причинам не удаётся, IceCube использует альтернативный вектор. Он загружает и выполняет shell script, ориентированный на специфичную для архитектуры полезную нагрузку (payload). Этот скрипт функционирует как загрузчик для бэкдора VShell, замеченного в предыдущих кампаниях других прокитайских противников. Подобное переиспользование инструментария указывает на скоординированное применение общей вредоносной инфраструктуры.
Применение скрытой сети Virtual Private Server (VPS) говорит о связи UNK_MassTraction с более масштабной шпионской операцией. Низкочастотное, но стратегически выверенное целеполагание полностью соответствует классическим тактикам кибершпионажа.
Почтовые серверы как критический рубеж обороны
Кампания подчёркивает настоятельную необходимость защиты почтовых серверов как полноправных точек входа в корпоративные и академические сети. Как отметили в Proofpoint Threat Research, «каналы электронной почты могут служить прикрытыми маршрутами для более широких стратегий доступа или проникновения, аналогично тому, как организации защищают другие критические узлы, такие как концентраторы VPN». Своевременное обновление веб-клиентов, строгие политики изоляции сессий и мониторинг аномалий на уровне почтовых приложений становятся обязательными элементами эшелонированной защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



