Campagne d'espionnage chinoise ciblant des universités via des failles Roundcube

🌐 Contexte Source : BleepingComputer, publié le 8 juillet 2026. Proofpoint a documenté une campagne d’espionnage active depuis mai 2026, ciblant des serveurs Roundcube dans des universités américaines et canadiennes. 🎯 Ciblage La campagne, suivie sous le nom UNK_MassTraction, vise spécifiquement : Les départements de physique et d’ingénierie Les administrateurs et professeurs Les organisations impliquées en astrophysique, physique des particules ou recherche liée à la sécurité nationale 🔗 Chaîne d’attaque Email malveillant envoyé depuis des comptes compromis ou des domaines usurpés Ouverture de l’email dans Roundcube → exploitation de CVE-2024-42009 (XSS) → exécution de JavaScript → chargement du payload IceCube IceCube collecte identifiants, mots de passe, cookies, données 2FA et informations navigateur Exploitation de CVE-2025-49113 (désérialisation Roundcube) via des « helpers » Tentative d’installation de SquareShell (webshell PHP avec RCE) En cas d’échec : téléchargement d’un script shell chargeant VShell directement en mémoire 🛠️ Outils utilisés IceCube : stealer Roundcube complet SquareShell : webshell PHP avec capacités RCE VShell : backdoor Go commodity supportant l’accès shell interactif et le port forwarding, couramment utilisé par des acteurs chinois 🕵️ Attribution Proofpoint évalue avec faible confiance que UNK_MassTraction est un acteur d’espionnage aligné avec la Chine, sur la base de : ...

9 juillet 2026 · 3 min
Dernière mise à jour le: 9 juillet 2026 📝