🌐 Contexte

Source : BleepingComputer, publié le 8 juillet 2026. Proofpoint a documenté une campagne d’espionnage active depuis mai 2026, ciblant des serveurs Roundcube dans des universités américaines et canadiennes.

🎯 Ciblage

La campagne, suivie sous le nom UNK_MassTraction, vise spécifiquement :

  • Les départements de physique et d’ingénierie
  • Les administrateurs et professeurs
  • Les organisations impliquées en astrophysique, physique des particules ou recherche liée à la sécurité nationale

🔗 Chaîne d’attaque

  1. Email malveillant envoyé depuis des comptes compromis ou des domaines usurpés
  2. Ouverture de l’email dans Roundcube → exploitation de CVE-2024-42009 (XSS) → exécution de JavaScript → chargement du payload IceCube
  3. IceCube collecte identifiants, mots de passe, cookies, données 2FA et informations navigateur
  4. Exploitation de CVE-2025-49113 (désérialisation Roundcube) via des « helpers »
  5. Tentative d’installation de SquareShell (webshell PHP avec RCE)
  6. En cas d’échec : téléchargement d’un script shell chargeant VShell directement en mémoire

🛠️ Outils utilisés

  • IceCube : stealer Roundcube complet
  • SquareShell : webshell PHP avec capacités RCE
  • VShell : backdoor Go commodity supportant l’accès shell interactif et le port forwarding, couramment utilisé par des acteurs chinois

🕵️ Attribution

Proofpoint évalue avec faible confiance que UNK_MassTraction est un acteur d’espionnage aligné avec la Chine, sur la base de :

  • Chevauchement d’infrastructure avec un réseau VPS covert associé à des acteurs chinois
  • Artefacts en langue chinoise dans des emails de phishing antérieurs
  • Tactique caractéristique d’exploitation de serveurs mail exposés comme point d’entrée

📋 Type d’article

Publication de recherche / analyse de menace publiée par Proofpoint, visant à documenter une nouvelle campagne d’espionnage et à alerter les équipes de sécurité des institutions académiques concernées.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • UNK_MassTraction (state-sponsored) —

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1189 — Drive-by Compromise (Initial Access)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1505.003 — Server Software Component: Web Shell (Persistence)
  • T1556 — Modify Authentication Process (Credential Access)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1620 — Reflective Code Loading (Defense Evasion)
  • T1572 — Protocol Tunneling (Command and Control)
  • T1595.002 — Active Scanning: Vulnerability Scanning (Reconnaissance)

IOC

Malware / Outils

  • IceCube (stealer)
  • SquareShell (tool)
  • VShell (backdoor)

🟡 Indice de vérification factuelle : 61/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 3150 chars — texte complet (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 11 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : UNK_MassTraction (5pts)
  • ⬜ 0/2 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/hackers-exploit-roundcube-flaw-to-spy-on-academic-researchers/