UNK_MassTraction kampány
A Proofpoint egy új, UNK_MassTraction néven követett, feltehetően Kínához köthető kiberkémkedési kampányt azonosított, amely 2026 májusa óta használja ki a Roundcube Webmail CVE-2024-42009 XSS sérülékenységét. A támadások rendkívül célzottak, elsősorban amerikai és kanadai egyetemek fizikai és mérnöki karait, valamint olyan professzorokat és rendszergazdákat céloznak, akik nemzetbiztonsági jelentőségű kutatásokban, például asztrofizikai, részecskefizikai vagy más érzékeny tudományos projektekben vesznek részt. A Proofpoint szerint a kompromittált szervezetek száma egyelőre tíznél kevesebb, de a potenciális célpontok köre több tucat egyetemre terjed ki.
A támadás egy speciálisan kialakított e-maillel indul, amelyet elegendő megnyitni a Roundcube webes felületén. A beágyazott JavaScript automatikusan lefut, kihasználja a CVE-2024-42009 sérülékenységet, majd további kódot tölt be, amely hozzáfér a felhasználó webmail-munkamenetéhez. A támadók így ellophatják az e-maileket, a kapcsolattartási adatokat és a munkamenet-tokeneket, valamint a felhasználó nevében műveleteket hajthatnak végre. A kampány célja nem rombolás vagy zsarolás, hanem hosszú távú kiberkémkedés és értékes kutatási információk megszerzése.
A Proofpoint a célpontválasztás, a támadási módszerek és az infrastruktúra alapján közepes bizonyossággal kínai állami érdekeket szolgáló szereplőhöz köti az UNK_MassTraction klasztert, ugyanakkor nem tulajdonítja azt egy ismert APT-csoportnak.
A tudományos intézmények – különösen a stratégiai jelentőségű kutatásokat végző egyetemek – továbbra is kiemelt célpontjai az államilag támogatott kiberkémkedési műveleteknek. A védekezés érdekében a Roundcube rendszereket frissítése javasolt.