中国系脅威アクター「UNK_MassTraction」、Roundcubeサーバーを悪用し大学を標的に

UNK_MassTractionと呼ばれる中国系とみられるクラスターが、Roundcube Webメールのnデイ脆弱性を悪用し、米国およびカナダの大学の物理学・工学部門を侵害しています。

攻撃者は、被害者のブラウザ上でJavaScriptを実行するCVE-2024-42009のクロスサイトスクリプティング(XSS)脆弱性を悪用することから始まる、2段階のブラウザからサーバーへの感染チェーンを使用します。

その後、認証情報とセッションを窃取するコンポーネントへとエスカレーションし、さらにリモートコード実行やインメモリ型バックドアの展開につながるサーバーサイドの悪用へと移行します。

このキャンペーンの初期侵入経路は一見単純です。侵害されたメール送信者や(DMARCが脆弱または未設定のため)なりすまし可能なドメインから送られた誘導メールには、onanimationstartを介してRoundcubeのXSSを悪用するHTMLが含まれています。

脆弱なインスタンスがWebメールクライアントでこのメッセージをレンダリングすると、ペイロードはユーザーのブラウザ上で実行されます。組み込まれたJavaScriptは、Proofpointが「IceCube」と呼ぶ次段階のスティーラーのローダーであり、RoundcubeのiframeからエスケープしてユーザーID、パスワード、二要素認証トークン、Cookie、CSRFトークン、ブラウザのテレメトリ情報を収集します。

窃取されたセッションデータはC2(コマンド・アンド・コントロール)エンドポイントへ送信され、その後サーバーサイドの悪用を進めるために利用されます。

IceCubeの高度さは際立っています。コードはモジュール化され、コメントが豊富に付けられており、ユーザーがページを離れたりタブを閉じたり、ログアウトを試みたりした場合に再度悪用を試みる「遅延トリガー」機構が実装されています。また、ブラウザ上の痕跡を消去するクリーンアップ機能や、永続化を確実にするためのフォールバック機構も備えています。

Proofpointは、開発時に大規模言語モデル(LLM)の支援が使われたことを示唆するスタイル上の特徴があると指摘しています。

メールサーバーへの侵入は、Crypt_GPG_Engineの解析処理に存在するデシリアライゼーション脆弱性(CVE-2025-49113として追跡)を通じて実行されます。

2026年5月以降、Proofpointは新たな活動クラスター――UNK_MassTractionとして追跡されている――が、Roundcubeのクロスサイトスクリプティング脆弱性であるCVE-2024-42009を悪用しているのを観測しました。

Image

IceCubeはPHPシリアライズされたガジェットペイロードを作成し、デシリアライズされると__destruct()の実行パスをトリガーしてシステムユーティリティを呼び出し、「SquareShell」と識別される軽量なWebシェルを展開します。

中国系のUNK_MassTraction

SquareShellはplugins/newmail_notifier/mail_preview.php配下にインストールされ、タイムスタンプを偽装して正規ファイルを装い、system、passthru、exec、shell_exec、assert、popenといった一般的なPHP関数を通じてリモートコード実行機能を提供します。

Webシェルの展開が失敗した場合、このチェーンはシェルスクリプトにフォールバックし、アーキテクチャ固有のELFローダーを取得・実行して、VShellをメモリ上にロードします。

VShellはGo言語で書かれたインプラントで、これまでLinux、macOS、Windowsへの侵入で確認されてきましたが、今回はインメモリ型バックドアとして使用されています。

このローダーは正規のプロセス名(例: kworker/0:2)を装い、重複実行を防ぐために既存のマーカーの有無を確認したうえで、C2に接続してバックドアを取得しfexecve()で実行します。

VShellの対話型シェル機能とポートフォワーディング機能により、侵害されたメールサーバーから内部の研究ネットワークへとピボットするための効果的なツールとなっています。

攻撃者特定の手がかりとしては、HTMLに埋め込まれた中国語の痕跡や、他の中国系脅威アクターと関連する秘匿VPSインフラの再利用などが挙げられます。

また、天体物理学、素粒子物理学など国家安全保障上重要となりうる分野を研究する、低ボリュームながら価値の高い学術ターゲットが選定されている点や、過去に中国によるスパイ活動と関連付けられているVShellコンポーネントの使用も特定の根拠となっています。

Proofpointはさらに、ファイル名解析やデシリアライゼーションのバグを利用してVShellを配布していた過去のキャンペーンとの類似点も指摘していますが、それらの事案との直接的な関連性は確認されていません。

防御側は、公開されているRoundcubeインスタンスを価値の高いエッジアクセスポイントとして扱うべきです。直ちに講じるべき対策としては、CVE-2024-42009およびCVE-2025-49113へのパッチ適用が挙げられます。

さらに、なりすましメールの配信を減らすための厳格なDMARC/DMARCアラインメントの適用、侵害が疑われる場合の認証情報のローテーションとアクティブセッションの無効化、plugins/newmail_notifier/mail_preview.phpにおけるタイムスタンプ偽装されたWebシェルの捜索、そしてインメモリ型VShellの痕跡や異常な発信C2トラフィックの監視も求められます。

Proofpointは政府および業界パートナーと協調して情報開示とスキャンを実施しました。攻撃者は今後もフォールバック機構やペイロード配布手法を改良していく可能性が高く、防御側は継続的な悪用の試みを前提として対応する必要があります。

2019年のSOC向けに書かれたSLAを受け入れるのはもうやめましょう――2026年版AI SLAベンダーチェックリストはこちら ―― 無料のAI SOC SLAガイドをダウンロード

翻訳元: https://gbhackers.com/china-aligned-unk_masstraction/

ソース: gbhackers.com