Grupo de ameaças ligado à China explora servidores Roundcube em universidades

Um novo grupo de ameaças, identificado como UNK_MassTraction, está explorando servidores vulneráveis do Roundcube em universidades dos Estados Unidos e Canadá, visando principalmente departamentos de física e engenharia, além de organizações de pesquisa em astrofísica e segurança nacional. Desde maio, a campanha tem sido rastreada pela empresa de cibersegurança Proofpoint, que relata que os ataques começam com e-mails maliciosos enviados de contas comprometidas ou domínios falsificados. Ao abrir esses e-mails em um cliente webmail Roundcube vulnerável, os usuários são afetados por uma falha de cross-site scripting (CVE-2024-42009), que executa um código JavaScript e carrega um payload chamado IceCube. Este malware é capaz de roubar credenciais, dados de autenticação de dois fatores e informações do navegador. Além disso, o malware tenta explorar uma falha de desserialização (CVE-2025-49113) para instalar um webshell PHP, SquareShell, que permite execução remota de código. A Proofpoint sugere que o UNK_MassTraction é um ator de espionagem alinhado à China, dado o uso de infraestrutura associada a grupos chineses e a tática de atacar servidores de e-mail. A empresa recomenda que administradores de sistemas Roundcube apliquem atualizações de segurança para mitigar essas vulnerabilidades.

Fonte: https://www.bleepingcomputer.com/news/security/hackers-exploit-roundcube-flaw-to-spy-on-academic-researchers/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
08/07/2026 • Risco: ALTO
MALWARE

Grupo de ameaças ligado à China explora servidores Roundcube em universidades

RESUMO EXECUTIVO
O ataque em questão destaca a vulnerabilidade de sistemas de e-mail em instituições acadêmicas, com o uso de técnicas sofisticadas de phishing e exploração de falhas conhecidas. A urgência em aplicar patches e reforçar a segurança é evidente, especialmente considerando o potencial impacto na proteção de dados sensíveis.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido ao roubo de dados e interrupções operacionais.
Operacional
Roubo de credenciais e instalação de malware em servidores de e-mail.
Setores vulneráveis
['Educação', 'Pesquisa', 'Tecnologia']

📊 INDICADORES CHAVE

54% dos ataques bem-sucedidos são registrados. Indicador
Apenas 14% dos ataques geram alertas. Contexto BR
O malware IceCube é descrito como um 'stealer' completo. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a aplicação de patches para CVE-2024-42009 e CVE-2025-49113.
2 Implementar medidas de segurança adicionais em servidores de e-mail e treinar usuários para reconhecer e-mails maliciosos.
3 Monitorar logs de acesso e atividades suspeitas em servidores de e-mail.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança de servidores de e-mail, que são alvos frequentes de espionagem e podem comprometer dados sensíveis.

⚖️ COMPLIANCE

Implicações para a LGPD, especialmente em relação à proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).