🌐 Contexte
Source : BleepingComputer, publié le 8 juillet 2026. Proofpoint a documenté une campagne d’espionnage active depuis mai 2026, ciblant des serveurs Roundcube dans des universités américaines et canadiennes.
🎯 Ciblage
La campagne, suivie sous le nom UNK_MassTraction, vise spécifiquement :
- Les départements de physique et d’ingénierie
- Les administrateurs et professeurs
- Les organisations impliquées en astrophysique, physique des particules ou recherche liée à la sécurité nationale
🔗 Chaîne d’attaque
- Email malveillant envoyé depuis des comptes compromis ou des domaines usurpés
- Ouverture de l’email dans Roundcube → exploitation de CVE-2024-42009 (XSS) → exécution de JavaScript → chargement du payload IceCube
- IceCube collecte identifiants, mots de passe, cookies, données 2FA et informations navigateur
- Exploitation de CVE-2025-49113 (désérialisation Roundcube) via des « helpers »
- Tentative d’installation de SquareShell (webshell PHP avec RCE)
- En cas d’échec : téléchargement d’un script shell chargeant VShell directement en mémoire
🛠️ Outils utilisés
- IceCube : stealer Roundcube complet
- SquareShell : webshell PHP avec capacités RCE
- VShell : backdoor Go commodity supportant l’accès shell interactif et le port forwarding, couramment utilisé par des acteurs chinois
🕵️ Attribution
Proofpoint évalue avec faible confiance que UNK_MassTraction est un acteur d’espionnage aligné avec la Chine, sur la base de :
- Chevauchement d’infrastructure avec un réseau VPS covert associé à des acteurs chinois
- Artefacts en langue chinoise dans des emails de phishing antérieurs
- Tactique caractéristique d’exploitation de serveurs mail exposés comme point d’entrée
📋 Type d’article
Publication de recherche / analyse de menace publiée par Proofpoint, visant à documenter une nouvelle campagne d’espionnage et à alerter les équipes de sécurité des institutions académiques concernées.
🧠 TTPs et IOCs détectés
Acteurs de menace
- UNK_MassTraction (state-sponsored) —
TTP
- T1566.002 — Phishing: Spearphishing Link (Initial Access)
- T1189 — Drive-by Compromise (Initial Access)
- T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
- T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
- T1505.003 — Server Software Component: Web Shell (Persistence)
- T1556 — Modify Authentication Process (Credential Access)
- T1539 — Steal Web Session Cookie (Credential Access)
- T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
- T1620 — Reflective Code Loading (Defense Evasion)
- T1572 — Protocol Tunneling (Command and Control)
- T1595.002 — Active Scanning: Vulnerability Scanning (Reconnaissance)
IOC
Malware / Outils
- IceCube (stealer)
- SquareShell (tool)
- VShell (backdoor)
🟡 Indice de vérification factuelle : 61/100 (moyenne)
- ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
- ✅ 3150 chars — texte complet (15pts)
- ✅ 2 IOC(s) (6pts)
- ⬜ pas d’IOC vérifié (0pts)
- ✅ 11 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ✅ acteur(s) identifié(s) : UNK_MassTraction (5pts)
- ⬜ 0/2 CVE(s) confirmée(s) (0pts)
🔗 Source originale : https://www.bleepingcomputer.com/news/security/hackers-exploit-roundcube-flaw-to-spy-on-academic-researchers/