Cve-2024-42009

Grupo ligado à China explora falhas em software de e-mail universitário

Um novo grupo de ameaças, identificado como UNK_MassTraction, está explorando vulnerabilidades críticas no software de webmail Roundcube, utilizado por departamentos de física e engenharia em universidades dos EUA e Canadá. A atividade maliciosa, detectada pela primeira vez em maio de 2026, visa principalmente administradores e professores de áreas relacionadas à segurança nacional e estudos avançados em física. Os atacantes utilizam falhas de segurança, como a CVE-2024-42009, para roubar credenciais e implantar ferramentas de acesso remoto, como VShell e SquareShell. Os e-mails maliciosos são enviados a partir de remetentes comprometidos ou domínios vulneráveis, aproveitando políticas DMARC fracas. O ataque é facilitado por um exploit de cross-site scripting (XSS), que permite a execução de código JavaScript no navegador da vítima. Após a exploração, um payload chamado IceCube coleta informações sensíveis, como dados de autenticação de dois fatores (2FA) e cookies, e tenta obter acesso persistente ao servidor de e-mail. A campanha destaca a necessidade de uma defesa robusta para servidores de e-mail, que são frequentemente alvos de ataques cibernéticos, especialmente por grupos patrocinados por estados, como os da China.