Kelompok ancaman yang terkait dengan Tiongkok telah mengeksploitasi server Roundcube yang rentan di universitas-universitas AS dan Kanada untuk mencuri kredensial dan menyebarkan malware pintu belakang.
Kampanye ini telah dilaksanakan sejak bulan Mei dan berfokus pada departemen fisika dan teknik, administrator dan profesor, serta organisasi yang terlibat dalam astrofisika, fisika partikel, atau penelitian terkait keamanan nasional.
Para peneliti di perusahaan keamanan siber Proofpoint sedang melacak aktivitas dengan nama ‘UNK_MassTraction’ dan diyakini terkait dengan kelompok ancaman baru.
Serangan dimulai dengan email berbahaya yang dikirim dari akun yang disusupi atau domain palsu, menggunakan umpan umum.
Sumber: Titik Bukti
Membuka email di klien webmail Roundcube yang rentan memicu eksploitasi kelemahan skrip lintas situs yang dilacak sebagai CVE-2024-42009, yang mengeksekusi kode JavaScript di dalam browser korban, memuat muatan yang disebut IceCube.
Menurut para peneliti, IceCube “adalah pencuri Roundcube berfitur lengkap” yang dapat mengambil nama pengguna, kata sandi, cookie, data otentikasi dua faktor (2FA), dan informasi browser.
Kata bukti bahwa malware menggunakan “pembantu” untuk mengeksploitasi kelemahan deserialisasi Roundcube yang dilacak CVE-2025-49113 dan mencoba menginstal SquareShell, webshell PHP yang menyertakan kemampuan eksekusi kode jarak jauh.
Jika berhasil, penyerang mendapatkan eksekusi kode jarak jauh di server email; jika tidak, malware akan mengunduh skrip shell yang memuat payload lain, VShell, langsung ke memori.
VShell adalah pintu belakang komoditas berbasis Go yang mendukung akses shell interaktif dan penerusan port, yang umumnya umum dilakukan digunakan oleh aktor ancaman Tiongkok.
Sumber: Titik Bukti
Berdasarkan beberapa pengamatan, Proofpoint menilai UNK_MassTraction kemungkinan besar merupakan aktor spionase yang berpihak pada Tiongkok.
Pertama, infrastruktur yang digunakan dalam serangan tersebut tumpang tindih dengan jaringan VPS rahasia yang sebelumnya dikaitkan dengan beberapa aktor yang terkait dengan Tiongkok. Petunjuk lainnya adalah adanya artefak berbahasa Mandarin di email phishing sebelumnya.
Terakhir, taktik menargetkan server email yang terhubung ke internet sebagai pijakan untuk mengakses jaringan internal adalah ciri khas serangan Tiongkok.
Dengan mempertimbangkan semuanya, Proofpoint menekankan bahwa atribusi dalam kasus ini hanyalah sebuah penilaian dan jelas bukan penilaian dengan tingkat keyakinan tinggi.
Temuan menarik mengenai penargetan spesifik kampanye ini adalah UNK_MassTraction tampaknya telah memilih server yang sebelumnya dianggap rentan terhadap CVE-2024-42009 dan CVE-2025-49113, sehingga beberapa pengintaian dilakukan sebelum serangan terjadi.
Administrator sistem Roundcube disarankan untuk menerapkan pembaruan keamanan terbaru yang mengatasi dua kelemahan tersebut dan memperlakukan server email dengan kewaspadaan yang sama seperti yang ditunjukkan pada VPN dan node akses jarak jauh lainnya.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
