Um novo grupo de ameaças, identificado como UNK_MassTraction, está explorando servidores vulneráveis do Roundcube em universidades dos Estados Unidos e Canadá, visando principalmente departamentos de física e engenharia, além de organizações de pesquisa em astrofísica e segurança nacional. Desde maio, a campanha tem sido rastreada pela empresa de cibersegurança Proofpoint, que relata que os ataques começam com e-mails maliciosos enviados de contas comprometidas ou domínios falsificados. Ao abrir esses e-mails em um cliente webmail Roundcube vulnerável, os usuários são afetados por uma falha de cross-site scripting (CVE-2024-42009), que executa um código JavaScript e carrega um payload chamado IceCube. Este malware é capaz de roubar credenciais, dados de autenticação de dois fatores e informações do navegador. Além disso, o malware tenta explorar uma falha de desserialização (CVE-2025-49113) para instalar um webshell PHP, SquareShell, que permite execução remota de código. A Proofpoint sugere que o UNK_MassTraction é um ator de espionagem alinhado à China, dado o uso de infraestrutura associada a grupos chineses e a tática de atacar servidores de e-mail. A empresa recomenda que administradores de sistemas Roundcube apliquem atualizações de segurança para mitigar essas vulnerabilidades.
Fonte: https://www.bleepingcomputer.com/news/security/hackers-exploit-roundcube-flaw-to-spy-on-academic-researchers/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
08/07/2026 • Risco: ALTO
MALWARE
Grupo de ameaças ligado à China explora servidores Roundcube em universidades
RESUMO EXECUTIVO
O ataque em questão destaca a vulnerabilidade de sistemas de e-mail em instituições acadêmicas, com o uso de técnicas sofisticadas de phishing e exploração de falhas conhecidas. A urgência em aplicar patches e reforçar a segurança é evidente, especialmente considerando o potencial impacto na proteção de dados sensíveis.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido ao roubo de dados e interrupções operacionais.
Operacional
Roubo de credenciais e instalação de malware em servidores de e-mail.
Setores vulneráveis
['Educação', 'Pesquisa', 'Tecnologia']
📊 INDICADORES CHAVE
54% dos ataques bem-sucedidos são registrados.
Indicador
Apenas 14% dos ataques geram alertas.
Contexto BR
O malware IceCube é descrito como um 'stealer' completo.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a aplicação de patches para CVE-2024-42009 e CVE-2025-49113.
2
Implementar medidas de segurança adicionais em servidores de e-mail e treinar usuários para reconhecer e-mails maliciosos.
3
Monitorar logs de acesso e atividades suspeitas em servidores de e-mail.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de servidores de e-mail, que são alvos frequentes de espionagem e podem comprometer dados sensíveis.
⚖️ COMPLIANCE
Implicações para a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).