El equipo de investigación de amenazas de Proofpoint ha detectado y analizado al grupo de ciberespionaje UNK_MassTraction, probablemente alineado con los intereses de China, que ha atacado servidores vulnerables de correo Roundcube en prestigiosas universidades de Estados Unidos y Canadá.
Bajo seguimiento desde mayo, la actividad de UNK_MassTraction se dirige a profesores, administradores y científicos de departamentos universitarios de física e ingeniería con vínculos en la investigación de la seguridad nacional, la astrofísica y la física de partículas.
Según la compañía de ciberseguridad, sus campañas demuestran un cambio táctico significativo en el panorama de amenazas: los atacantes usan cada vez más la infraestructura propia como punto de entrada para acceder a las redes de las víctimas, en vez de limitarse a dirigir ataques de ingeniería social convencionales contra los usuarios para robar contenido.
El grupo encadena múltiples vulnerabilidades ya conocidas en Roundcube para hacerse con credenciales del navegador y, posteriormente, comprometer el servidor de correo mediante la instalación de una webshell o el despliegue de la puerta trasera VShell directamente en la memoria. A diferencia de otros actores que buscan robar el contenido de los buzones, UNK_MassTraction emplea los servidores de correo como pasarela para adentrarse en redes corporativas más amplias. Además, estos expertos han hallado evidencias de que parte del kit de herramientas de ataque ha sido desarrollado con algún gran modelo de lenguaje (LLM).
Para enviar correos fraudulentos, los atacantes usaron cuentas previamente comprometidas y dominios vulnerables a la suplantación de identidad. Los mensajes empleaban ganchos genéricos o aparentemente inocuos, similares a spam o publicidad, diseñados para que los usuarios los abrieran y los pasaran por alto, minimizando así las sospechas.
“El diseño de la vulnerabilidad hace que baste con que el usuario abra el correo electrónico en su cliente web de Roundcube para que el atacante obtenga acceso al servidor. Esto sugiere que los destinatarios individuales podrían ser secundarios y que el verdadero objetivo es el servidor en sí”, apuntan los investigadores de Proofpoint. “La cadena de infección demuestra una alta madurez operativa, ya que incluye procesos automáticos de limpieza del almacenamiento local del navegador para borrar evidencias forenses y comprobaciones periódicas destinadas a evitar la doble infección de un mismo host”.
La atribución que hace Proofpoint de esta actividad a ciberespías de apoyo a China se debe a patrones característicos, como el uso de infraestructura compartida, el despliegue de una puerta trasera en la memoria, la presencia de caracteres chinos en el código HTML de las plantillas de los correos iniciales o el uso de servidores de correo para pivotar hacia una red interna.
Para hacer frente a estas tácticas avanzadas, los expertos de Proofpoint recomiendan que las organizaciones traten y protejan sus servidores de correo electrónico con la misma prioridad y rigurosidad con la que defienden sus conexiones VPN, cortafuegos u otros nodos de acceso remoto. Entre las principales medidas destacan implementar actualizaciones de seguridad para Roundcube que corrijan las vulnerabilidades descritas y supervisar de forma proactiva cualquier comportamiento anómalo o actividad de posexplotación en sistemas expuestos.