
Cadeia combina XSS e RCE pós-autenticada para roubo de credenciais e implantação de web shell ou VShell, com técnicas para prolongar a execução e reduzir evidências no servidor de e-mail.
| Componente | Roundcube Webmail (software de e-mail open-source) em departamentos universitários; exploração encadeada com malware JavaScript (IceCube), web shell (SquareShell) e ferramenta pós-exploração (VShell), além do loader ELF SNOWLIGHT |
| Vetor | e-mails de phishing que induzem a vítima a abrir a mensagem no cliente Roundcube, disparando um XSS (ex.: CVE-2024-42009) para executar JavaScript no navegador, coletar credenciais/sessão e, em seguida, usar token de CSRF para acionar uma RCE pós-autenticada (ex.: CVE-2025-49113) no servidor de e-mail |
| Impacto | roubo de credenciais e dados de sessão; obtenção de ponto de apoio no servidor de e-mail via execução remota de código; implantação em memória de web shell (SquareShell) ou entrega de VShell, com capacidade de administração remota e persistência operacional |
| Prioridade | atualizar imediatamente o Roundcube para versões corrigidas e eliminar exposição a falhas N-day; revisar controles de e-mail (incluindo DMARC) e monitorar sinais de execução anômala no Roundcube, criação/alteração de arquivos em plugins e tráfego HTTP POST incomum associado a coleta de dados e beaconing |
| Vulnerabilidades | CVE-2024-42009 (XSS, CVSS 9.3) e CVE-2025-49113 (RCE pós-autenticada, CVSS 9.9), citadas como parte do encadeamento observado |
| Alvos | departamentos de física e engenharia de universidades nos EUA e Canadá, com foco em administradores e professores; seleção associada a áreas com vínculos de segurança nacional ou estudo de astrofísica e física de partículas |
| Artefatos | endpoint associado a web shell citado como plugins/newmail_notifier/mail_preview.php; web shell referida como SquareShell; ferramenta pós-exploração em Go chamada VShell; loader ELF denominado SNOWLIGHT; cluster rastreado como UNK_MassTraction |
Uma campanha atribuída a um agrupamento de atividade suspeito de alinhamento com interesses chineses foi observada explorando instâncias do Roundcube Webmail em departamentos de física e engenharia de universidades dos Estados Unidos e do Canadá. A seleção de alvos indicou atenção a perfis de administradores e docentes e a ambientes associados a temas sensíveis, incluindo setores com possíveis vínculos a segurança nacional e grupos acadêmicos ligados a astrofísica e física de partículas. A atividade foi detectada em maio de 2026 e descrita como um uso deliberado de falhas N-day em ambientes que permaneciam vulneráveis.
O encadeamento técnico combina um estágio inicial baseado em cross-site scripting, que exige apenas a abertura do e-mail no cliente Roundcube, com um estágio posterior de execução remota de código pós-autenticada no servidor de e-mail. A cadeia busca primeiro obter dados que permitam se movimentar do contexto do navegador para o contexto do servidor, culminando na implantação de um web shell em memória (SquareShell) ou no uso de uma ferramenta pós-exploração conhecida como VShell. O fluxo ainda incorpora mecanismos de “gatilhos adiados” para estender tentativas de exploração, sinalizar eventos ao comando e controle e, ao final, reduzir rastros ao encerrar sessões.
O ponto de entrada é descrito como e-mails direcionados a departamentos universitários, enviados tanto a partir de remetentes comprometidos quanto por domínios abusados que permitiam spoofing devido a políticas DMARC frágeis. O objetivo do e-mail é levar o destinatário a visualizar o conteúdo no Roundcube, momento em que a falha de XSS (mencionada como CVE-2024-42009) permitiria a execução de JavaScript no contexto do navegador. Esse JavaScript tem função de coleta: credenciais e/ou informações de sessão podem ser obtidas e encaminhadas para um sistema externo por meio de uma requisição HTTP POST, estabelecendo a base para a etapa seguinte.
Com informações de sessão em mãos, o fluxo avança para a exploração de uma falha de RCE pós-autenticada no Roundcube (mencionada como CVE-2025-49113). O uso do token de CSRF da sessão aparece como elemento-chave para “armar” a etapa de execução no servidor, com a intenção de obter ponto de apoio no servidor de e-mail e instalar capacidades persistentes. A implantação principal inclui um web shell chamado SquareShell, descrito como carregado em memória e acessível remotamente por um endpoint específico, plugins/newmail_notifier/mail_preview.php, possibilitando execução arbitrária de código no servidor.
Caso a instalação do SquareShell falhe, a cadeia recorre a um mecanismo alternativo: a exploração da vulnerabilidade do Roundcube passa a executar um script de shell que atua como canal para entregar VShell. Esse método secundário é descrito como introduzido em junho de 2026, substituindo um comportamento anterior em que a cadeia simplesmente encerrava se a implantação do web shell não funcionasse. O script tem responsabilidade de obter uma versão do loader ELF denominado SNOWLIGHT compatível com a arquitetura do sistema hospedeiro e executá-lo, preparando o ambiente para a carga subsequente.
O estágio no navegador, referido como IceCube, não se limita a disparar uma tentativa única. Ele configura “gatilhos adiados” que monitoram interações do usuário, como fechamento de página, troca de abas e saída do cursor da janela, além de interferir no botão de logout. Se esses eventos ocorrerem, o código intercepta as ações, tenta novamente explorar a RCE pós-autenticada e realiza beaconing para o comando e controle indicando que o usuário deixou a sessão. Ao concluir tentativas ou atingir timeout, o código destrói sessões iniciadas pelo usuário e sessões iniciadas pelo próprio malware no servidor, forçando logout e reduzindo evidências forenses associadas ao comprometimento do Roundcube.
A superfície de risco envolve, em primeiro lugar, servidores de e-mail que expõem o Roundcube e que permaneciam executando versões suscetíveis a falhas N-day já corrigidas. Como o estágio de XSS depende do usuário abrir o e-mail no cliente Roundcube, a exposição prática aumenta em organizações onde o webmail é utilizado por perfis administrativos e técnicos com acesso privilegiado ao ambiente, incluindo contas com permissão para administrar configurações, integrar serviços e gerenciar usuários. A presença de políticas DMARC relaxadas em domínios usados no envio também amplia a probabilidade de entrega e de aceitação do e-mail malicioso.
O impacto não fica restrito ao endpoint do usuário, porque a cadeia foi desenhada para fazer a transição do navegador para o servidor: a exploração pós-autenticada mira o Roundcube no servidor de e-mail e busca instalar capacidades remotas (SquareShell/VShell). Dessa forma, ambientes com Roundcube acessível, com controles de sessão e autenticação que possam ser abusados após o roubo de contexto de sessão, e com permissões ou caminhos de execução que permitam a criação/execução de artefatos no diretório do aplicativo ficam mais expostos. O uso de SNOWLIGHT e VShell também sugere atenção a servidores Linux capazes de executar binários ELF, com seleção de carga compatível com arquitetura.
A campanha indica um componente de reconhecimento prévio: a hipótese apresentada é que os alvos foram selecionados por estarem executando versões vulneráveis, o que implica coleta antecipada de informações sobre o ambiente antes do envio do phishing. Na prática, isso coloca em risco organizações com inventário de ativos deficiente, janelas longas de patching e ausência de monitoramento específico do webmail como “nó de borda”, comparável a concentradores de VPN e outros pontos de acesso remoto.
- Instâncias do Roundcube vulneráveis a
CVE-2024-42009eCVE-2025-49113(falhas citadas como críticas e já corrigidas) em servidores de e-mail expostos - Contas de administradores e docentes com alto valor, especialmente quando o webmail é usado para tarefas administrativas e integrações
- Ambientes com DMARC fraco, facilitando spoofing e aumentando a taxa de entrega/credibilidade de e-mails maliciosos
A detecção deve combinar telemetria do próprio Roundcube, do servidor web/PHP e da rede. Como a cadeia usa JavaScript no navegador para coletar informações e enviar dados via HTTP POST, é relevante revisar logs de acesso e de aplicação em busca de padrões anômalos envolvendo sessões de usuários-alvo e requisições atípicas que ocorram logo após a leitura de e-mails específicos. Em paralelo, a exploração de RCE pós-autenticada e a tentativa de criar um web shell em memória ou acionar scripts no servidor podem gerar sinais em logs do servidor web, do PHP e do sistema operacional, incluindo processos incomuns, alterações em diretórios de plugins e acessos a endpoints que não costumam ser chamados diretamente por clientes legítimos.
A referência explícita ao endpoint plugins/newmail_notifier/mail_preview.php como ponto de acesso remoto para execução arbitrária torna esse caminho um candidato de alta prioridade para hunting. Deve-se procurar requisições repetidas, com parâmetros fora do padrão, padrões de user-agent inconsistentes com navegadores corporativos e acessos originados de endereços IP não habituais (sem publicar indicadores específicos). Além disso, a cadeia menciona destruição de sessões para reduzir rastros, o que pode aparecer como picos de logouts, invalidações de sessão ou encerramentos abruptos associados a usuários que relatem comportamento estranho no webmail.
No nível do host, a presença de um script que escolhe carga conforme arquitetura e executa um loader ELF sugere verificar execução de binários inesperados, processos de curta duração que baixam ou executam artefatos temporários e conexões de saída incomuns do servidor de e-mail para destinos externos. A ferramenta VShell, escrita em Go e descrita como um remote administration tool com capacidades semelhantes a frameworks de pós-comprometimento, pode se manifestar como processos Go desconhecidos, serviços persistentes não autorizados ou tráfego de beaconing periódico. A análise deve reconhecer que parte do fluxo ocorre “em memória”, reduzindo a dependência de artefatos em disco e elevando a importância de EDR, auditoria de processos e correlação de rede.
- Acessos e padrões anômalos ao caminho
plugins/newmail_notifier/mail_preview.php, incluindo chamadas repetidas e parâmetros incomuns - Picos de eventos de logout/invalidação de sessão no Roundcube após leitura de e-mails, coerentes com destruição de sessões e interrupção abrupta
- Execução de processos inesperados no servidor de e-mail (incluindo binários ELF desconhecidos e possíveis processos Go), além de conexões de saída incomuns indicando beaconing para comando e controle
A resposta defensiva deve começar pela eliminação das pré-condições exploradas: atualizar o Roundcube para versões corrigidas que removam a exposição às falhas citadas (CVE-2024-42009 e CVE-2025-49113). Em paralelo, é necessário tratar o webmail como ativo crítico de borda, com endurecimento equivalente ao aplicado em VPN e outros nós de acesso remoto. Isso inclui revisão de permissões do servidor web e do ambiente PHP, redução de superfícies desnecessárias, segregação de rede do servidor de e-mail e monitoramento contínuo de endpoints sensíveis e diretórios de aplicação, especialmente caminhos de plugins.
Como a cadeia depende de e-mail para entrega e se beneficia de spoofing associado a DMARC relaxado, fortalecer a postura de autenticação de e-mail reduz probabilidade de comprometimento inicial. A mitigação deve considerar revisão de DMARC, além de políticas complementares de proteção contra phishing e validação de remetentes, principalmente para públicos-alvo com alto valor. Também é recomendado intensificar inspeção e detecção no gateway de e-mail para padrões de mensagens suspeitas, mantendo o foco em reduzir a exposição operacional sem transformar a defesa em um conjunto de bloqueios frágeis a lures genéricos.
Na contenção, organizações devem assumir que o roubo de credenciais e de contexto de sessão pode ter ocorrido, e agir de forma proporcional aos fatos: invalidar sessões ativas, forçar reset de senhas para contas potencialmente impactadas e revisar logs de autenticação para anomalias. Se houver evidências de exploração no servidor, a prioridade passa a ser isolar o host, coletar evidências com preservação forense adequada, remover artefatos relacionados a web shell e RAT e revisar persistências. Como o fluxo descreve técnicas para reduzir evidências (encerramento e destruição de sessões), a validação pós-resposta deve incluir checagens independentes: integridade de arquivos do Roundcube, inventário de processos e serviços e verificação de conexões de saída no período de suspeita.
- Atualizar o Roundcube para versões corrigidas e confirmar que
CVE-2024-42009eCVE-2025-49113não são mais exploráveis no ambiente - Reforçar autenticação de e-mail e antiphishing, incluindo endurecimento de DMARC para reduzir spoofing e abuso de domínios
- Executar contenção e erradicação no servidor de e-mail quando houver sinais de exploração: isolar o host, revisar integridade do aplicativo, invalidar sessões e rotacionar credenciais de contas potencialmente expostas
0 Comentários