Nhóm tin tặc nghi từ Trung Quốc khai thác lỗ hổng Roundcube tấn công các trường đại học
Các nhà nghiên cứu bảo mật vừa phát hiện một chiến dịch tấn công tinh vi nhắm vào các trường đại học tại Mỹ và Canada, sử dụng các lỗ hổng nghiêm trọng trên phần mềm email Roundcube để chiếm quyền...
Một nhóm tin tặc được cho là có liên hệ với Trung Quốc đang thực hiện chiến dịch tấn công nhắm vào các khoa vật lý và kỹ thuật tại các trường đại học ở Mỹ và Canada. Mục tiêu chính của nhóm này là khai thác các lỗ hổng bảo mật đã được công bố trên phần mềm email mã nguồn mở Roundcube.
Theo báo cáo từ Proofpoint, nhóm tin tặc này được theo dõi dưới tên gọi UNK_MassTraction. Kể từ tháng 5/2026, nhóm đã tập trung vào các quản trị viên và giáo sư tại những đơn vị có liên quan đến an ninh quốc gia hoặc nghiên cứu vật lý thiên văn. Kẻ tấn công sử dụng các email phishing được gửi từ các tài khoản đã bị chiếm quyền hoặc các tên miền có cấu hình DMARC lỏng lẻo.
Cơ chế tấn công tinh vi
Chiến dịch này khai thác lỗ hổng XSS (CVE-2024-42009) để thực thi mã JavaScript tùy ý trong trình duyệt của nạn nhân ngay khi họ mở email trong giao diện Roundcube. Sau đó, mã độc có tên IceCube sẽ được kích hoạt để đánh cắp thông tin xác thực, cookie và dữ liệu 2FA.
Sau khi chiếm được quyền truy cập, kẻ tấn công tiếp tục lợi dụng lỗ hổng RCE (CVE-2025-49113) để cài đặt các web shell như SquareShell hoặc công cụ hậu khai thác VShell. Đáng chú ý, nếu quá trình cài đặt web shell thất bại, nhóm này sẽ chuyển sang sử dụng một kịch bản shell để tải xuống trình nạp ELF có tên SNOWLIGHT – một công cụ từng được liên kết với nhóm UNC5174.
Khả năng che giấu dấu vết
Điểm đáng chú ý của IceCube là các “deferred triggers” (cơ chế kích hoạt trì hoãn). Mã độc này theo dõi hành vi người dùng, chẳng hạn như khi họ đóng tab hoặc di chuyển chuột ra khỏi cửa sổ trình duyệt, để tự động thực hiện lại các bước khai thác hoặc xóa sạch dấu vết phiên làm việc trước khi nạn nhân kịp phát hiện. Hành động này giúp kẻ tấn công xóa bỏ các bằng chứng pháp y (forensic) trên server.
Các chuyên gia từ Proofpoint nhận định rằng đây là lần đầu tiên các nhóm tin tặc Trung Quốc được ghi nhận khai thác lỗ hổng Roundcube một cách có hệ thống. Điều này cho thấy các máy chủ email đang trở thành mục tiêu ưu tiên, tương tự như các thiết bị VPN hay các node truy cập từ xa. Các tổ chức cần ưu tiên vá lỗi và bảo mật chặt chẽ cho hệ thống email của mình để tránh trở thành nạn nhân tiếp theo.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.