Ciberespías explotan fallos en Roundcube para atacar universidades

El equipo de investigación de amenazas de Proofpoint ha detectado y analizado al grupo de ciberespionaje UNK_MassTraction, probablemente alineado con los intereses de China, que ha atacado servidores vulnerables de correo Roundcube en prestigiosas universidades de Estados Unidos y Canadá.

Bajo seguimiento desde mayo, la actividad de UNK_MassTraction se dirige a profesores, administradores y científicos de departamentos universitarios de física e ingeniería con vínculos en la investigación de la seguridad nacional, la astrofísica y la física de partículas.

Según la compañía de ciberseguridad, sus campañas demuestran un cambio táctico significativo en el panorama de amenazas: los atacantes usan cada vez más la infraestructura propia como punto de entrada para acceder a las redes de las víctimas, en vez de limitarse a dirigir ataques de ingeniería social convencionales contra los usuarios para robar contenido.

El grupo encadena múltiples vulnerabilidades ya conocidas en Roundcube para hacerse con credenciales del navegador y, posteriormente, comprometer el servidor de correo mediante la instalación de una webshell o el despliegue de la puerta trasera VShell directamente en la memoria. A diferencia de otros actores que buscan robar el contenido de los buzones, UNK_MassTraction emplea los servidores de correo como pasarela para adentrarse en redes corporativas más amplias. Además, estos expertos han hallado evidencias de que parte del kit de herramientas de ataque ha sido desarrollado con algún gran modelo de lenguaje (LLM).

Para enviar correos fraudulentos, los atacantes usaron cuentas previamente comprometidas y dominios vulnerables a la suplantación de identidad. Los mensajes empleaban ganchos genéricos o aparentemente inocuos, similares a spam o publicidad, diseñados para que los usuarios los abrieran y los pasaran por alto, minimizando así las sospechas.

“El diseño de la vulnerabilidad hace que baste con que el usuario abra el correo electrónico en su cliente web de Roundcube para que el atacante obtenga acceso al servidor. Esto sugiere que los destinatarios individuales podrían ser secundarios y que el verdadero objetivo es el servidor en sí”, apuntan los investigadores de Proofpoint“La cadena de infección demuestra una alta madurez operativa, ya que incluye procesos automáticos de limpieza del almacenamiento local del navegador para borrar evidencias forenses y comprobaciones periódicas destinadas a evitar la doble infección de un mismo host”.

La atribución que hace Proofpoint de esta actividad a ciberespías de apoyo a China se debe a patrones característicos, como el uso de infraestructura compartida, el despliegue de una puerta trasera en la memoria, la presencia de caracteres chinos en el código HTML de las plantillas de los correos iniciales o el uso de servidores de correo para pivotar hacia una red interna.

Para hacer frente a estas tácticas avanzadas, los expertos de Proofpoint recomiendan que las organizaciones traten y protejan sus servidores de correo electrónico con la misma prioridad y rigurosidad con la que defienden sus conexiones VPN, cortafuegos u otros nodos de acceso remoto. Entre las principales medidas destacan implementar actualizaciones de seguridad para Roundcube que corrijan las vulnerabilidades descritas y supervisar de forma proactiva cualquier comportamiento anómalo o actividad de posexplotación en sistemas expuestos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.