// 1 CRITICAL · 2 ZERO-DAY · 7 CVE · 5 EXPLOIT · 1 ADVISORY NELLE ULTIME 24H
Un cluster cinese attacca università statunitensi e canadesi con una catena di due vulnerabilità critiche in Roundcube. La campagna è in corso e molte vittime

Un gruppo di spionaggio sospettato di essere allineato alla Cina ha compromesso meno di dieci università statunitensi e canadesi sfruttando una catena di due vulnerabilità critiche in Roundcube. La campagna, osservata per la prima volta nel maggio 2026, è ritenuta ancora attiva. La novità tattica sta nell'inversione del paradigma classico: l'email non è più il vettore per colpire l'utente finale, ma l'arma per conquistare il server di posta.

Punti chiave
  • Men di dieci università identificate come vittime confermate, con stima di alcune decine potenzialmente impattate.
  • Catena di exploit: CVE-2024-42009 (XSS) per esecuzione JavaScript nel browser, seguita da CVE-2025-49113 (RCE via PHP Object Deserialization) per il controllo del mailserver.
  • Target specifici: dipartimenti di fisica e ingegneria, con focus su amministratori e professori con legami alla sicurezza nazionale o legati a organizzazioni di ricerca in astrofisica e fisica delle particelle.
  • Entrambe le vulnerabilità sono elencate nel catalogo CISA Known Exploited Vulnerabilities; le patch sono disponibili da tempo ma la campagna continua.

L'exploit chain che inverte il flusso di attacco

La catena inizia con CVE-2024-42009, una vulnerabilità di cross-site scripting con punteggio base CVSS 3.1 di 9.6 secondo il record NVD. La falla, presente in Roundcube fino alla versione 1.5.7 e nelle versioni 1.6.x fino alla 1.6.7, consente a un attaccante remoto di rubare e inviare email della vittima attraverso un messaggio appositamente costruito che sfrutta un problema di desanitizzazione nella funzione message_body().

Questo primo passo è il ponte per il secondo: CVE-2025-49113, una vulnerabilità di esecuzione remota di codice con punteggio base CVSS 3.1 di 8.8 secondo il record NVD. La falla risiede nel parametro _from non validato in program/actions/settings/upload.php, che porta a una deserializzazione di oggetti PHP. Le versioni affette sono Roundcube precedenti alla 1.5.10 e le versioni 1.6.x precedenti alla 1.6.11.

La combinazione è chirurgica. L'XSS nel browser della vittima apre la strada all'RCE sul server. Non serve che l'utente clicchi un link sospetto o inserisca credenziali: basta aprire un'email con un lure generico inviato in serie. Greg Lesnewich, principal threat researcher di Proofpoint, ha descritto la campagna in termini precisi: "This campaign flips that on its head, using email to deliver an exploit chain to compromise a mail server, instead of using email to deliver a credential harvesting URL or malware to target an end user, not a server".

Il targeting accademico: fisica, ingegneria e sicurezza nazionale

Le vittime confermate sono meno di dieci università, ma la stima di Proofpoint indica che alcune decine potrebbero essere state raggiunte. Il targeting non è casuale: i dipartimenti di fisica e ingegneria sono al centro, in particolare amministratori e professori con connessioni alla sicurezza nazionale o affiliati a organizzazioni che studiano astrofisica e fisica delle particelle.

Questa profilazione suggerisce un interesse per la ricerca scientifica di frontiera, non per dati amministrativi o finanziari. Il dossier non specifica la motivazione precisa, ma il pattern è coerente con campagne di spionaggio tecnologico condotte da attori cinesi contro istituzioni di ricerca. Proofpoint traccia il cluster come UNK_MassTraction: un'etichetta che indica una raccolta di attività non ancora attribuibile a un gruppo nominato con certezza.

L'attribuzione a un attore allineato alla Cina si fonda su tre elementi concreti: l'uso di una rete covert nota e utilizzata da più gruppi cinesi, una catena di infezione che conduce a VShell, e artefatti in lingua cinese nelle email di phishing. Nessuna di queste sovrapposizioni, da sola, consente di identificare l'operatore specifico.

Post-exploitation e limiti della visibilità

Dopo la compromissione iniziale, il dossier documenta l'installazione di webshell e backdoor per l'accesso persistente. Proofpoint non ha tuttavia visibilità sui dati effettivamente esfiltrati. Come ha dichiarato Lesnewich: "We do not have data to suggest what got stolen, as we only observe the initial inbound email attempt". Questo limite è strutturale: il ricercatore vede l'ingresso, non l'uscita.

"There is a high likelihood that many victims have not been made aware of this activity yet"

Questa constatazione, sempre di Lesnewich, illumina lo scenario operativo. Le CVE sono note, le patch esistono, ma la campagna continua. La discrepanza tra vulnerabilità pubbliche e applicazione effettiva dei fix è qui il terreno di coltura dell'attacco.

Perché è importante

Il brief non documenta misure correttive specifiche raccomandate dalla fonte. Il dossier non specifica se le vittime avessano applicato le patch disponibili al momento dell'attacco, né fornisce indicazioni operative per la rilevazione o la risposta. La fonte non elenca controlli di verifica, strumenti di rilevazione o procedure di hardening consigliate.

La rilevanza della campagna sta piuttosto in due elementi. Il primo è tattico: l'inversione del flusso tradizionale, dove l'email diventa vettore per il server anziché per l'utente, espande la superficie di attacco delle istituzioni che ancora percepiscono la posta elettronica come problema di endpoint. Il secondo è strategico: le università con dipartimenti STEM restano target attivi di attori cinesi, e la protezione della ricerca scientifica è diventata una dimensione di sicurezza nazionale.

La fonte non specifica se altre nazioni o settori siano stati colpiti dalla stessa campagna. Non emergono sovrapposizioni infrastrutturali che colleghino UNK_MassTraction a cluster cinese noti con nome proprio. Il movente del targeting fisico-ingegneristico resta ipotesi di spionaggio: il dossier non lo conferma testualmente.

Le informazioni sono basate sull advisory citata e aggiornate al momento della pubblicazione.

Fonti

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. cyberscoop.com
  2. unit42.paloaltonetworks.com
  3. securityweek.com
  4. research.checkpoint.com
  5. nvd.nist.gov