<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/">
  <channel>
    <title>IceCube on CyberVeille</title>
    <link>https://cyberveille.ch/tags/icecube/</link>
    <description>Recent content in IceCube on CyberVeille</description>
    <generator>Hugo -- 0.146.0</generator>
    <language>fr-fr</language>
    <copyright>Cyberveille CC BY-NC-SA 4.0</copyright>
    <lastBuildDate>Thu, 09 Jul 2026 00:00:00 +0000</lastBuildDate>
    <atom:link href="https://cyberveille.ch/tags/icecube/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>Campagne d&#39;espionnage chinoise ciblant des universités via des failles Roundcube</title>
      <link>https://cyberveille.ch/posts/2026-07-09-campagne-d-espionnage-chinoise-ciblant-des-universites-via-des-failles-roundcube/</link>
      <pubDate>Thu, 09 Jul 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-07-09-campagne-d-espionnage-chinoise-ciblant-des-universites-via-des-failles-roundcube/</guid>
      <description>&lt;h2 id=&#34;-contexte&#34;&gt;🌐 Contexte&lt;/h2&gt;
&lt;p&gt;Source : BleepingComputer, publié le 8 juillet 2026. Proofpoint a documenté une campagne d&amp;rsquo;espionnage active depuis mai 2026, ciblant des serveurs &lt;strong&gt;Roundcube&lt;/strong&gt; dans des universités américaines et canadiennes.&lt;/p&gt;
&lt;h2 id=&#34;-ciblage&#34;&gt;🎯 Ciblage&lt;/h2&gt;
&lt;p&gt;La campagne, suivie sous le nom &lt;strong&gt;UNK_MassTraction&lt;/strong&gt;, vise spécifiquement :&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;Les départements de &lt;strong&gt;physique et d&amp;rsquo;ingénierie&lt;/strong&gt;&lt;/li&gt;
&lt;li&gt;Les administrateurs et professeurs&lt;/li&gt;
&lt;li&gt;Les organisations impliquées en &lt;strong&gt;astrophysique, physique des particules ou recherche liée à la sécurité nationale&lt;/strong&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;-chaîne-dattaque&#34;&gt;🔗 Chaîne d&amp;rsquo;attaque&lt;/h2&gt;
&lt;ol&gt;
&lt;li&gt;&lt;strong&gt;Email malveillant&lt;/strong&gt; envoyé depuis des comptes compromis ou des domaines usurpés&lt;/li&gt;
&lt;li&gt;Ouverture de l&amp;rsquo;email dans Roundcube → exploitation de &lt;strong&gt;CVE-2024-42009&lt;/strong&gt; (XSS) → exécution de JavaScript → chargement du payload &lt;strong&gt;IceCube&lt;/strong&gt;&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;IceCube&lt;/strong&gt; collecte identifiants, mots de passe, cookies, données 2FA et informations navigateur&lt;/li&gt;
&lt;li&gt;Exploitation de &lt;strong&gt;CVE-2025-49113&lt;/strong&gt; (désérialisation Roundcube) via des « helpers »&lt;/li&gt;
&lt;li&gt;Tentative d&amp;rsquo;installation de &lt;strong&gt;SquareShell&lt;/strong&gt; (webshell PHP avec RCE)&lt;/li&gt;
&lt;li&gt;En cas d&amp;rsquo;échec : téléchargement d&amp;rsquo;un script shell chargeant &lt;strong&gt;VShell&lt;/strong&gt; directement en mémoire&lt;/li&gt;
&lt;/ol&gt;
&lt;h2 id=&#34;-outils-utilisés&#34;&gt;🛠️ Outils utilisés&lt;/h2&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;IceCube&lt;/strong&gt; : stealer Roundcube complet&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;SquareShell&lt;/strong&gt; : webshell PHP avec capacités RCE&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;VShell&lt;/strong&gt; : backdoor Go commodity supportant l&amp;rsquo;accès shell interactif et le port forwarding, couramment utilisé par des acteurs chinois&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;-attribution&#34;&gt;🕵️ Attribution&lt;/h2&gt;
&lt;p&gt;Proofpoint évalue avec &lt;strong&gt;faible confiance&lt;/strong&gt; que UNK_MassTraction est un acteur d&amp;rsquo;espionnage aligné avec la Chine, sur la base de :&lt;/p&gt;</description>
    </item>
  </channel>
</rss>
