Campagne d'espionnage chinoise ciblant des universités via des failles Roundcube
đ Contexte Source : BleepingComputer, publiĂ© le 8 juillet 2026. Proofpoint a documentĂ© une campagne dâespionnage active depuis mai 2026, ciblant des serveurs Roundcube dans des universitĂ©s amĂ©ricaines et canadiennes. đŻ Ciblage La campagne, suivie sous le nom UNK_MassTraction, vise spĂ©cifiquement : Les dĂ©partements de physique et dâingĂ©nierie Les administrateurs et professeurs Les organisations impliquĂ©es en astrophysique, physique des particules ou recherche liĂ©e Ă la sĂ©curitĂ© nationale đ ChaĂźne dâattaque Email malveillant envoyĂ© depuis des comptes compromis ou des domaines usurpĂ©s Ouverture de lâemail dans Roundcube â exploitation de CVE-2024-42009 (XSS) â exĂ©cution de JavaScript â chargement du payload IceCube IceCube collecte identifiants, mots de passe, cookies, donnĂ©es 2FA et informations navigateur Exploitation de CVE-2025-49113 (dĂ©sĂ©rialisation Roundcube) via des « helpers » Tentative dâinstallation de SquareShell (webshell PHP avec RCE) En cas dâĂ©chec : tĂ©lĂ©chargement dâun script shell chargeant VShell directement en mĂ©moire đ ïž Outils utilisĂ©s IceCube : stealer Roundcube complet SquareShell : webshell PHP avec capacitĂ©s RCE VShell : backdoor Go commodity supportant lâaccĂšs shell interactif et le port forwarding, couramment utilisĂ© par des acteurs chinois đ”ïž Attribution Proofpoint Ă©value avec faible confiance que UNK_MassTraction est un acteur dâespionnage alignĂ© avec la Chine, sur la base de : ...