Defesa CibernéticaMundoSegurançaSistemas Operacionais

Falha no Roundcube: Espionagem Chinesa Ataca Universidades dos EUA e Canadá

Uma equipe suspeita de ser alinhada à China tem vasculhado silenciosamente caixas de correio universitárias nos EUA e Canadá desde maio. A tática é alarmantemente simples: basta um cientista abrir um e-mail para que a invasão ocorra.

Suspeitos de espionagem chinesa estão invadindo caixas de correio universitárias através de uma falha no Roundcube. Imagem por: Proofpoint

Um grupo de espionagem chinês, sob a alcunha de UNK_MassTraction, tem sido o responsável por invadir servidores de e-mail universitários nos Estados Unidos e Canadá. O alvo principal? Credenciais de funcionários envolvidos em pesquisas de física, engenharia e segurança nacional – informações de alto valor estratégico.

A empresa de segurança Proofpoint divulgou os detalhes desta campanha esta semana, rastreando as atividades do grupo desde, pelo menos, maio. The Register forneceu informações adicionais sobre o caso.

Embora a Proofpoint tenha confirmado diretamente menos de dez universidades afetadas, a estimativa é que o número real possa chegar a algumas dezenas. O último registro de atividade foi no início de junho, indicando que a operação de espionagem provavelmente ainda está em curso.

A Simplicidade da Invasão: Um E-mail é Suficiente

A porta de entrada para esses ataques é uma falha no Roundcube, uma plataforma de webmail amplamente utilizada. Os atacantes exploram uma vulnerabilidade de cross-site scripting (XSS), identificada como CVE-2024-42009. O mais preocupante é que a exploração ocorre no exato momento em que a vítima abre uma mensagem manipulada. Não há necessidade de cliques em links, download de anexos ou inserção de senhas – a simples abertura do e-mail é suficiente para ativar o ataque.

As iscas utilizadas são deliberadamente discretas. A equipe envia e-mails de phishing a partir de contas legítimas comprometidas ou domínios falsificados, disfarçando-os como mensagens de marketing ou spam. Uma vez que um alvo abre um desses e-mails em uma caixa de entrada Roundcube vulnerável, um script oculto entra em ação, iniciando a coleta de dados.

O Que é Roubado e Como a Rede é Comprometida

Esse script malicioso, batizado pela Proofpoint de IceCube, é capaz de coletar nomes de usuário, senhas, tokens de sessão e cookies diretamente da caixa de correio da vítima. Além disso, ele realiza um reconhecimento silencioso, registrando informações como o idioma do usuário, o tamanho da tela e os campos do formulário de login.

Os dados coletados são então empacotados e enviados de volta aos atacantes via web. Em seguida, a equipe explora uma segunda falha no Roundcube, a CVE-2025-49113. Esta vulnerabilidade permite a instalação de um web shell e um backdoor baseado em Go, conhecido como VShell – uma ferramenta frequentemente associada a grupos de hackers chineses.

A Proofpoint enfatiza que o servidor de e-mail serve apenas como um ponto de apoio inicial. A partir dele, os operadores podem se aprofundar na rede da universidade, buscando acesso a informações ainda mais sensíveis.

Indícios Apontam para Pequim

Embora a Proofpoint não nomeie explicitamente um estado, os indícios sugerem fortemente a China. Greg Lesnewich, engenheiro principal de pesquisa de ameaças da Proofpoint, afirmou ao The Register que “o direcionamento é consistente com as prioridades de inteligência do estado chinês”, destacando o foco em astrofísica, física de partículas e pesquisas com laços de defesa.

A infraestrutura utilizada nos ataques reforça essa suspeita. Os servidores que sustentam a campanha estão localizados em uma rede secreta que atende a múltiplos atores alinhados à China. Em junho, o grupo adicionou um carregador de fallback compartilhado pelos mesmos grupos. A Proofpoint classifica o operador como alinhado à China, com segurança operacional moderada.

Universidades são alvos particularmente atraentes e vulneráveis. Elas abrigam pesquisas de ponta, promovem colaborações internacionais e, muitas vezes, não possuem a mesma segurança rigorosa de um empreiteiro de defesa. Essa combinação as torna um prêmio recorrente para espiões apoiados pelo estado que visam redes acadêmicas.

A Importância da Conscientização e Proteção

A campanha serve como um lembrete contundente de que a espionagem moderna frequentemente começa na caixa de entrada, e não com uma invasão física. A Proofpoint informou que identificou e alertou as vítimas, em colaboração com parceiros governamentais e da indústria. Para os pesquisadores cujo trabalho foi exposto, a solução é clara: corrigir a falha no Roundcube e tratar cada e-mail não lido como uma potencial ameaça.

Via
ProofpointThe RegisterThe Next Web

Central de Ferramentas Gratuitas

Aumente sua produtividade com nossos utilitários exclusivos

Alex Rodrigues

Baiano que ama tecnologia. Faz aplicações para a web, desenvolve e presta consultoria. Adora um jogo de xadrez e um hold´em. Editor dos antigos expertstech.net e technodia.net.

Artigos relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo