Falha no Roundcube: Espionagem Chinesa Ataca Universidades dos EUA e Canadá

Uma equipe suspeita de ser alinhada à China tem vasculhado silenciosamente caixas de correio universitárias nos EUA e Canadá desde maio. A tática é alarmantemente simples: basta um cientista abrir um e-mail para que a invasão ocorra.
Suspeitos de espionagem chinesa estão invadindo caixas de correio universitárias através de uma falha no Roundcube. Imagem por: Proofpoint
Um grupo de espionagem chinês, sob a alcunha de UNK_MassTraction, tem sido o responsável por invadir servidores de e-mail universitários nos Estados Unidos e Canadá. O alvo principal? Credenciais de funcionários envolvidos em pesquisas de física, engenharia e segurança nacional – informações de alto valor estratégico.
A empresa de segurança Proofpoint divulgou os detalhes desta campanha esta semana, rastreando as atividades do grupo desde, pelo menos, maio. The Register forneceu informações adicionais sobre o caso.
Embora a Proofpoint tenha confirmado diretamente menos de dez universidades afetadas, a estimativa é que o número real possa chegar a algumas dezenas. O último registro de atividade foi no início de junho, indicando que a operação de espionagem provavelmente ainda está em curso.
A Simplicidade da Invasão: Um E-mail é Suficiente
A porta de entrada para esses ataques é uma falha no Roundcube, uma plataforma de webmail amplamente utilizada. Os atacantes exploram uma vulnerabilidade de cross-site scripting (XSS), identificada como CVE-2024-42009. O mais preocupante é que a exploração ocorre no exato momento em que a vítima abre uma mensagem manipulada. Não há necessidade de cliques em links, download de anexos ou inserção de senhas – a simples abertura do e-mail é suficiente para ativar o ataque.
As iscas utilizadas são deliberadamente discretas. A equipe envia e-mails de phishing a partir de contas legítimas comprometidas ou domínios falsificados, disfarçando-os como mensagens de marketing ou spam. Uma vez que um alvo abre um desses e-mails em uma caixa de entrada Roundcube vulnerável, um script oculto entra em ação, iniciando a coleta de dados.
O Que é Roubado e Como a Rede é Comprometida
Esse script malicioso, batizado pela Proofpoint de IceCube, é capaz de coletar nomes de usuário, senhas, tokens de sessão e cookies diretamente da caixa de correio da vítima. Além disso, ele realiza um reconhecimento silencioso, registrando informações como o idioma do usuário, o tamanho da tela e os campos do formulário de login.
Os dados coletados são então empacotados e enviados de volta aos atacantes via web. Em seguida, a equipe explora uma segunda falha no Roundcube, a CVE-2025-49113. Esta vulnerabilidade permite a instalação de um web shell e um backdoor baseado em Go, conhecido como VShell – uma ferramenta frequentemente associada a grupos de hackers chineses.
A Proofpoint enfatiza que o servidor de e-mail serve apenas como um ponto de apoio inicial. A partir dele, os operadores podem se aprofundar na rede da universidade, buscando acesso a informações ainda mais sensíveis.
Indícios Apontam para Pequim
Embora a Proofpoint não nomeie explicitamente um estado, os indícios sugerem fortemente a China. Greg Lesnewich, engenheiro principal de pesquisa de ameaças da Proofpoint, afirmou ao The Register que “o direcionamento é consistente com as prioridades de inteligência do estado chinês”, destacando o foco em astrofísica, física de partículas e pesquisas com laços de defesa.
A infraestrutura utilizada nos ataques reforça essa suspeita. Os servidores que sustentam a campanha estão localizados em uma rede secreta que atende a múltiplos atores alinhados à China. Em junho, o grupo adicionou um carregador de fallback compartilhado pelos mesmos grupos. A Proofpoint classifica o operador como alinhado à China, com segurança operacional moderada.
Universidades são alvos particularmente atraentes e vulneráveis. Elas abrigam pesquisas de ponta, promovem colaborações internacionais e, muitas vezes, não possuem a mesma segurança rigorosa de um empreiteiro de defesa. Essa combinação as torna um prêmio recorrente para espiões apoiados pelo estado que visam redes acadêmicas.
A Importância da Conscientização e Proteção
A campanha serve como um lembrete contundente de que a espionagem moderna frequentemente começa na caixa de entrada, e não com uma invasão física. A Proofpoint informou que identificou e alertou as vítimas, em colaboração com parceiros governamentais e da indústria. Para os pesquisadores cujo trabalho foi exposto, a solução é clara: corrigir a falha no Roundcube e tratar cada e-mail não lido como uma potencial ameaça.




