Ciberespías aprovechan vulnerabilidades en Roundcube para comprometer la investigación en seguridad y física de prestigiosas universidades

El equipo de investigación de amenazas de Proofpoint ha identificado una nueva campaña de ciberespionaje dirigida contra universidades de Estados Unidos y Canadá, en la que un grupo de atacantes, denominado UNK_MassTraction y presuntamente vinculado a intereses chinos, está explotando vulnerabilidades en servidores de correo electrónico Roundcube para acceder a redes internas de instituciones académicas.

La compañía de ciberseguridad lleva siguiendo la actividad de este grupo desde el pasado mes de mayo y asegura que los ataques se han centrado principalmente en profesores, investigadores, científicos y personal administrativo de departamentos de física e ingeniería relacionados con áreas estratégicas como la seguridad nacional, la astrofísica o la física de partículas.

Un cambio en las tácticas de ataque

Según explica Proofpoint, esta campaña refleja una evolución en las estrategias empleadas por los grupos de ciberespionaje. En lugar de centrarse únicamente en engañar a los usuarios mediante técnicas tradicionales de phishing para obtener información, los atacantes buscan comprometer directamente la infraestructura tecnológica de las organizaciones utilizando los propios servidores de correo como puerta de entrada hacia el resto de la red corporativa.

Para ello, UNK_MassTraction encadena varias vulnerabilidades ya conocidas en Roundcube, lo que le permite obtener credenciales almacenadas en los navegadores de las víctimas y, posteriormente, instalar herramientas maliciosas en el servidor de correo, como una webshell o la puerta trasera VShell, ejecutada directamente en memoria para dificultar su detección.

Los investigadores destacan que el objetivo final no es únicamente acceder al contenido de los buzones de correo, sino utilizar estos servidores como punto de apoyo para desplazarse lateralmente dentro de la infraestructura de las organizaciones atacadas.

Correos aparentemente inofensivos

La campaña emplea mensajes enviados desde cuentas previamente comprometidas y dominios susceptibles de ser suplantados. Los correos utilizan asuntos y contenidos genéricos, similares a mensajes publicitarios o de spam, con el propósito de que los destinatarios los abran sin despertar sospechas.

Proofpoint advierte de que la vulnerabilidad explotada resulta especialmente peligrosa porque basta con que el usuario visualice el mensaje desde el cliente web de Roundcube para que el atacante pueda obtener acceso al servidor.

«El diseño de la vulnerabilidad hace que baste con que el usuario abra el correo electrónico en su cliente web de Roundcube para que el atacante obtenga acceso al servidor. Esto sugiere que los destinatarios individuales podrían ser secundarios y que el verdadero objetivo es el servidor en sí», señalan los investigadores.

La firma añade que la cadena de infección demuestra un elevado grado de sofisticación, incorporando mecanismos automáticos para eliminar evidencias del ataque en el navegador y sistemas de control destinados a evitar que un mismo equipo sea comprometido en varias ocasiones.

Indicios de desarrollo con inteligencia artificial

Durante el análisis de la campaña, los expertos también encontraron evidencias de que parte de las herramientas utilizadas por los atacantes podrían haber sido desarrolladas con la ayuda de grandes modelos de lenguaje (LLM), una tendencia cada vez más presente entre los grupos especializados en ciberespionaje.

La atribución de la operación a actores alineados con China se basa en diversos indicadores técnicos, entre ellos el uso de infraestructuras compartidas con campañas anteriores, la utilización de puertas traseras ejecutadas en memoria, la presencia de caracteres chinos en el código HTML de las plantillas empleadas en los correos iniciales y el empleo de servidores de correo comprometidos como punto de acceso a redes internas.

Recomendaciones para las organizaciones

Ante este tipo de amenazas, Proofpoint recomienda a las organizaciones reforzar la protección de sus servidores de correo con el mismo nivel de prioridad que otros sistemas críticos, como las conexiones VPN, los cortafuegos o las infraestructuras de acceso remoto.

Entre las principales medidas preventivas, la compañía destaca la necesidad de aplicar cuanto antes las actualizaciones de seguridad disponibles para Roundcube que corrigen las vulnerabilidades explotadas en esta campaña, así como monitorizar de forma continua cualquier actividad sospechosa o indicios de posexplotación en los sistemas expuestos a Internet.

Scroll al inicio