// 1 ZERO-DAY · 1 CVE · 1 EXPLOIT NELLE ULTIME 24H
Proofpoint ha individuato UNK_MassTraction, un cluster sospettato di provenienza cinese, che sfrutta due vulnerabilità N-day di Roundcube per compromettere server di

Nota editoriale: Tutti i dettagli tecnici derivano da un unico report Proofpoint; le fonti secondarie ne confermano solo la divulgazione. L'attribuzione a operatori cinesi è esplicitamente valutata da Proofpoint come "solo una stima e decisamente non di alta confidenza".

Proofpoint ha rivelato il 7 luglio 2026 una campagna di spionaggio informatico attiva da maggio contro server Roundcube di università statunitensi e canadesi. Il cluster tracciato come UNK_MassTraction ha compromesso server di posta web esposti a Internet, puntando specificamente a dipartimenti di fisica e ingegneria con legami alla sicurezza nazionale. L'analisi tecnica documenta una catena di infezione multilivello che trasforma una vulnerabilità di cross-site scripting in esecuzione remota di codice.

Punti chiave
  • UNK_MassTraction, cluster sospettato di provenienza cinese, è attivo da maggio 2026 contro università statunitensi e canadesi.
  • La catena di attacco sfrutta CVE-2024-42009 (CVSS 9.3) e CVE-2025-49113 (CVSS 9.9), entrambe in catalogo KEV di CISA.
  • Il payload JavaScript IceCube implementa trigger differiti che ritentano l'exploitazione al verificarsi di azioni dell'utente.
  • In caso di fallimento del web shell SquareShell, la catena ricade su SNOWLIGHT per eseguire in memoria il backdoor VShell, meccanismo introdotto a giugno 2026.

FACT: La doppia catena di exploit

L'accesso iniziale avviene tramite email malevole inviate da mittenti compromessi o domini contraffatti con policy DMARC deboli, secondo quanto documentato da Proofpoint. Il destinatario non deve fare altro che aprire il messaggio in un client Roundcube vulnerabile: CVE-2024-42009, cross-site scripting con CVSS 9.3 secondo il record NVD, esegue il payload JavaScript denominato IceCube.

IceCube sfrutta l'evento onanimationstart per attivarsi e ruba credenziali e token CSRF tramite POST HTTP. Con il token di sessione sottratto, l'attaccante innesca CVE-2025-49113, vulnerabilità di deserializzazione PHP con CVSS 9.9 secondo NVD, nel file program/actions/settings/upload.php. La combinazione permette l'esecuzione remota di codice autenticato sul server.

IceCube intercetta eventi utente specifici — chiusura della pagina, cambio di scheda, uscita del cursore dall'area del browser, clic sul logout — e ritenta l'exploitazione di CVE-2025-49113 qualora il primo tentativo fallisca. Al completamento, distrugge le sessioni per cancellare tracce forensi. Proofpoint documenta questo meccanismo come "deferred triggers".

FACT: Payload, web shell e backdoor in memoria

In caso di successo della deserializzazione, l'attaccante dispiega SquareShell, web shell PHP posizionata nel percorso plugins/newmail_notifier/mail_preview.php con timestamp alterati per eludere l'analisi temporale. La shell è raggiungibile remotamente e garantisce accesso persistente al server compromesso.

A partire da giugno 2026, secondo Proofpoint, la catena ha acquisito un meccanismo di fallback. Se il dispiegamento di SquareShell fallisce, uno script shell scarica il loader ELF SNOWLIGHT per eseguire in memoria VShell, backdoor scritto in Go che fornisce shell interattiva e port forwarding. VShell è stato osservato in operazioni di attori sospettati di provenienza cinese, anche se Proofpoint segnala l'assenza di dati che colleghino direttamente UNK_MassTraction al cluster UNC5174 o ad altri avversari noti.

Proofpoint rileva inoltre marcatori stilistici nel codice di IceCube che suggeriscono l'assistenza di un modello di linguaggio durante lo sviluppo.

FACT: Target e motivazione documentata

La campagna non colpisce indiscriminatamente: Proofpoint documenta il targeting di amministratori e professori in dipartimenti con legami alla sicurezza nazionale o attivi in astrofisica e fisica delle particelle. I ricercatori affermano che "l'attore sta probabilmente abusando dei server Roundcube come punto di pivot per entrare nelle reti target, e gli operatori hanno deliberatamente costruito la loro catena di infezione per evitare il rilevamento".

"L'attore sta probabilmente abusando dei server Roundcube come punto di pivot per entrare nelle reti target, e gli operatori hanno deliberatamente costruito la loro catena di infezione per evitare il rilevamento."
— Greg Lesnewich e Mark Kelly, Proofpoint

FACT: L'attribuzione e i suoi limiti

Proofpoint colloca UNK_MassTraction nel novero dei cluster sospettati di provenienza cinese sulla base di tre indicatori: sovrapposizione infrastrutturale con una rete di VPS covert associata a più attori collegati alla Cina; artefatti in lingua cinese nelle email di phishing iniziali; la caratteristica tattica del targeting di server di posta esposti a Internet. BleepingComputer riporta l'avvertenza esplicita dei ricercatori: "l'attribuzione in questo caso è solo una valutazione e decisamente non di alta confidenza".

Il dossier non stabilisce se UNK_MassTraction rappresenti un attore emergente o il rebranding di un gruppo esistente. Non emergono sovrapposizioni infrastrutturali che colleghino il cluster a UNC5174 allo stato attuale, nonostante il ricorso a SNOWLIGHT e VShell in entrambi i contesti.

Cosa fare adesso

  • Verificare l'applicazione delle patch Roundcube 1.5.10/1.6.11 o successive per CVE-2025-49113, e 1.5.8/1.6.8 o successive per CVE-2024-42009, entrambe in catalogo KEV di CISA.
  • Ispezionare il percorso plugins/newmail_notifier/mail_preview.php per rilevare eventuali web shell non autorizzate.
  • Rivedere le policy DMARC dei domini istituzionali per ridurre l'efficacia dello spoofing iniziale.
  • Monitorare i log di accesso a program/actions/settings/upload.php per attività anomala da sessioni autenticate.

ANALISI: Il contesto accademico

La campagna si inserisce in un pattern di targeting ricorrente contro infrastrutture di posta elettronica esposte a Internet. Proofpoint nota che "gli operatori cinesi continueranno a trattarli come qualsiasi altro dispositivo perimetrale". La scelta di Roundcube riflette la sua diffusione come webmail open source auto-gestita in ambienti con risorse di sicurezza limitate.

I ricercatori di Proofpoint chiudono con un avvertimento ironico ma preciso: "Sebbene il targeting di questa campagna sia affascinante per l'immaginazione, è improbabile che UNK_MassTraction risolva in tempi brevi profonde questioni teoriche di fisica o il Paradosso di Fermi". La battuta sottolinea che l'obiettivo è l'accesso alle reti, non il contenuto scientifico delle email.

Fonti: Proofpoint via The Hacker News (2026-07-07); BleepingComputer (2026-07-07); InfoSecurity Magazine (2026-07-07); HackRead (2026-07-07); GBHackers (2026-07-07); NVD CVE-2024-42009; NVD CVE-2025-49113.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. thehackernews.com
  2. bleepingcomputer.com
  3. infosecurity-magazine.com
  4. hackread.com
  5. gbhackers.com
  6. nvd.nist.gov
  7. helpx.adobe.com