Cyber-spionaggio: un nuovo gruppo legato alla Cina colpisce le università nordamericane attraverso i server e-mail

La campagna UNK_MassTraction sfrutta una vulnerabilità di Roundcube per compromettere i server di posta e utilizzarli come punto di accesso alle reti accademiche impegnate in ricerca strategica

Le università continuano a rappresentare uno dei principali obiettivi del cyber-spionaggio internazionale. Le collaborazioni con enti governativi, i progetti di ricerca avanzata e l’elevato patrimonio di proprietà intellettuale rendono infatti il mondo accademico un bersaglio privilegiato per gli attori sponsorizzati dagli Stati.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

È quanto emerge dalle ultime analisi di Proofpoint, che hanno individuato una nuova campagna di cyber-spionaggio attribuita a un cluster denominato UNK_MassTraction, ritenuto con elevata probabilità riconducibile agli interessi della Cina.

L’operazione prende di mira i server e-mail di università statunitensi e canadesi sfruttando una vulnerabilità nota di Roundcube, uno dei webmail client open source più diffusi.

Nel mirino fisica, ingegneria e ricerca strategica

La campagna, osservata a partire da maggio 2026, ha colpito in modo altamente selettivo dipartimenti universitari di fisica e ingegneria, con particolare attenzione ai docenti e agli amministratori coinvolti in programmi di ricerca collegati alla sicurezza nazionale, alla fisica delle particelle e all’astrofisica.

Secondo i ricercatori, la scelta dei bersagli dimostra una lunga fase preliminare di ricognizione durante la quale gli attaccanti hanno identificato le organizzazioni che utilizzavano ancora versioni vulnerabili di Roundcube.

L’obiettivo iniziale non sembrerebbe essere il singolo ricercatore, ma l’accesso ai server di posta elettronica per utilizzare successivamente tali sistemi come punto di ingresso verso l’intera infrastruttura universitaria.

Sfruttata una vulnerabilità di Roundcube

La catena di attacco sfrutta la vulnerabilità CVE-2024-42009, una falla di tipo Cross-Site Scripting (XSS) presente in Roundcube.

L’attacco richiede soltanto che la vittima apra un messaggio di posta appositamente predisposto. Da quel momento gli aggressori riescono a eseguire codice JavaScript direttamente all’interno del browser dell’utente.

Leggi anche:  SAP inaugura il Defense Innovation Hub per rafforzare la resilienza digitale nella sicurezza e nella difesa

Il codice malevolo consente dapprima di sottrarre le credenziali memorizzate nel browser e successivamente di ottenere un accesso persistente al server di posta elettronica.

Nella fase finale vengono installate una webshell oppure la backdoor VShell, strumenti che consentono agli attaccanti di mantenere il controllo del sistema e utilizzarlo come trampolino per ulteriori movimenti laterali all’interno della rete.

I server e-mail diventano il punto di ingresso

Uno degli aspetti più significativi evidenziati dall’analisi riguarda il ruolo attribuito ai server di posta.

Diversamente da molte campagne finalizzate esclusivamente al furto di e-mail, gli attori riconducibili al cyberspionaggio cinese tendono a utilizzare i mail server come veri e propri dispositivi edge, ossia punti di accesso privilegiati dai quali espandere progressivamente la compromissione verso altri sistemi interni.

Una volta ottenuto il controllo del server, gli aggressori possono infatti raccogliere credenziali, muoversi lateralmente nella rete e raggiungere infrastrutture molto più sensibili rispetto alla semplice casella di posta.

Gli indizi portano alla Cina

Proofpoint attribuisce la campagna con un elevato livello di confidenza a un attore sponsorizzato dallo Stato cinese.

L’analisi ha individuato diversi elementi tecnici compatibili con precedenti operazioni di cyber-spionaggio attribuite a Pechino, tra cui l’utilizzo di una rete di server privati virtuali già osservata in altre campagne, la presenza di artefatti in lingua cinese all’interno delle e-mail di phishing e l’impiego della backdoor VShell, già utilizzata in operazioni analoghe.

Anche il numero limitato di messaggi inviati conferma un approccio altamente selettivo, tipico delle attività di spionaggio piuttosto che delle campagne di cybercrime su larga scala.

Un richiamo alla sicurezza dei server di posta

Secondo gli esperti, questa campagna rappresenta un ulteriore segnale di come i server e-mail debbano essere considerati infrastrutture critiche al pari dei gateway VPN, dei sistemi di accesso remoto e degli Identity Provider.

Leggi anche:  TeamViewer, nuova funzionalità di Accesso Agentless per gestire da remoto i processi operativi in modo sicuro e semplificato in ambienti industriali

L’utilizzo di vulnerabilità note ma non corrette dimostra inoltre quanto il patch management continui a rappresentare uno degli elementi fondamentali della difesa.

L’episodio evidenzia anche la necessità di rafforzare il monitoraggio continuo dei server di posta elettronica, adottare sistemi di rilevamento delle attività anomale e ridurre i tempi di applicazione degli aggiornamenti di sicurezza, soprattutto nelle organizzazioni impegnate in attività di ricerca strategica o nella gestione di informazioni sensibili.