Sospetti spie cinesi fanno irruzione nei server di posta dell'università

Sospetti spie cinesi fanno irruzione nei server di posta dell'università

      Un gruppo di spionaggio cinese sospettato ha violato i server di posta universitaria negli Stati Uniti e in Canada. Ha rubato credenziali da personale nei settori della fisica, ingegneria e ricerca sulla sicurezza nazionale.

      La società di sicurezza Proofpoint ha rivelato la campagna questa settimana, tracciando il gruppo come UNK_MassTraction e datandola ad almeno maggio. The Register ha riportato ulteriori dettagli.

      Proofpoint ha osservato direttamente meno di dieci università colpite. Stima che il numero reale sia di alcune dozzine. L'ultima segnalazione risale all'inizio di giugno e l'attività è probabilmente ancora in corso.

      Una email è sufficiente

      Il modo di entrare è una vulnerabilità in Roundcube, una piattaforma di webmail ampiamente utilizzata. Gli attaccanti sfruttano un bug di cross-site scripting, CVE-2024-42009, che si attiva nel momento in cui un obiettivo apre un messaggio truccato. Nessun clic, nessun allegato, nessuna password necessaria.

      Il 💜 della tecnologia dell'UE

      Le ultime novità dalla scena tecnologica dell'UE, una storia del nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora!

      Le esche sono deliberatamente noiose. Il gruppo invia email di phishing da account legittimi compromessi e domini falsificabili, travestendole da marketing o spam. Una volta che un obiettivo apre una di queste nella casella di posta vulnerabile di Roundcube, uno script nascosto inizia a lavorare.

      Cosa ruba

      Quello script, che Proofpoint chiama IceCube, raccoglie nomi utente, password, token di sessione e cookie direttamente dalla casella di posta. Esegue anche una ricognizione silenziosa, annotando la lingua della vittima, la dimensione dello schermo e i campi del loro modulo di accesso.

      Lo script raggruppa quei dati e li invia indietro agli attaccanti tramite il web. Il gruppo poi sfrutta una seconda vulnerabilità di Roundcube, CVE-2025-49113. Questo consente di piantare una web shell e un backdoor basato su Go chiamato VShell, uno strumento preferito da diversi gruppi di hacking cinesi.

      Proofpoint afferma che il server di posta è in realtà un trampolino di lancio. Da lì, gli operatori possono approfondire la rete universitaria.

      Puntando su Pechino

      Proofpoint si ferma prima di nominare uno stato specifico, ma i segnali tendono verso la Cina. “Il targeting è coerente con le priorità dell'intelligence statale cinese,” ha dichiarato Greg Lesnewich, ingegnere principale della ricerca sulle minacce, a The Register, sottolineando l'attenzione su astrofisica, fisica delle particelle e ricerca con legami con la difesa.

      L'infrastruttura aggiunge peso. I server dietro la campagna si trovano in una rete segreta che serve più attori allineati con la Cina. A giugno, il gruppo ha aggiunto un loader di fallback che gli stessi gruppi condividono. Proofpoint valuta l'operatore come allineato con la Cina con una sicurezza operativa moderata.

      Le università sono obiettivi morbidi e preziosi. Detengono ricerche all'avanguardia, favoriscono la collaborazione internazionale e raramente gestiscono la sicurezza con la stessa rigidità di un appaltatore della difesa. Questa combinazione ha reso le reti accademiche un premio ricorrente per spie sostenute dallo stato.

      Perché è importante

      La campagna è un promemoria che lo spionaggio ora spesso inizia in una casella di posta, non con un'intrusione. Proofpoint afferma di aver scansionato per vittime e di averle avvisate insieme a partner governativi e industriali. Per i ricercatori il cui lavoro è stato esposto dal gruppo, la soluzione è diretta: correggere Roundcube e trattare ogni email non letta come una possibile porta d'ingresso.

Altri articoli

Lyzr ha utilizzato il proprio agente AI per aiutare a raccogliere un round da 100 milioni di dollari. Lyzr ha utilizzato il proprio agente AI per aiutare a raccogliere un round da 100 milioni di dollari. La startup di intelligenza artificiale per le imprese Lyzr afferma che il suo agente, Agent Sam, ha gestito oltre 130 investitori mentre raccoglieva 100 milioni di dollari in un round di finanziamento di Serie B a una valutazione di circa 500 milioni di dollari. Dentro il 'Court 19' nascosto di IBM a Wimbledon Dentro il 'Court 19' nascosto di IBM a Wimbledon Sotto il 18° campo di Wimbledon, il 'Court 19' di IBM elabora 2,7 milioni di punti dati a torneo e trasforma i Campionati in una vetrina per l'IA. Meta corregge la falla di privacy della spy-cam degli occhiali Ray-Ban Meta corregge la falla di privacy della spy-cam degli occhiali Ray-Ban L'aggiornamento di Meta disabilita la fotocamera se la luce di registrazione viene distrutta, chiudendo un mod per telecamere spia, mentre il rivale senza fotocamera Even Realities raggiunge una valutazione di 1 miliardo di dollari. Lyzr ha utilizzato il proprio agente AI per aiutare a raccogliere un round da 100 milioni di dollari. Lyzr ha utilizzato il proprio agente AI per aiutare a raccogliere un round da 100 milioni di dollari. La startup di intelligenza artificiale per le imprese Lyzr afferma che il suo agente, Agent Sam, ha gestito oltre 130 investitori mentre raccoglieva 100 milioni di dollari in un round di finanziamento di Serie B a una valutazione di circa 500 milioni di dollari. Lyzr ha utilizzato il proprio agente AI per aiutare a raccogliere un round da 100 milioni di dollari. Lyzr ha utilizzato il proprio agente AI per aiutare a raccogliere un round da 100 milioni di dollari. La startup di intelligenza artificiale per le imprese Lyzr afferma che il suo agente, Agent Sam, ha gestito oltre 130 investitori mentre raccoglieva 100 milioni di dollari in un round di finanziamento di Serie B a una valutazione di circa 500 milioni di dollari. Nuove regole dell'UE prevedono una telecamera di sorveglianza del conducente in ogni auto Nuove regole dell'UE prevedono una telecamera di sorveglianza del conducente in ogni auto Le regole sulla sicurezza dei veicoli della seconda fase dell'UE richiedono telecamere per l'attenzione del conducente e freni che rilevano i pedoni su tutte le nuove auto e furgoni a partire dal 7 luglio 2026.

Sospetti spie cinesi fanno irruzione nei server di posta dell'università

Proofpoint afferma che un gruppo allineato alla Cina sta violando le caselle di posta delle università statunitensi e canadesi tramite vulnerabilità di Roundcube per rubare ricerche in fisica e difesa.