Vanaf mei 2026 observeerden onderzoekers van Proofpoint een nieuw cluster activiteiten, waarbij misbruik werd gemaakt van een cross-site scripting-kwetsbaarheid in Roundcube, een open-source webmailapplicatie. Dit cluster wordt aangeduid als UNK_MassTraction. De campagne richtte zich op faculteiten voor natuurkunde en techniek aan grote Amerikaanse en Canadese universiteiten. De nadruk lag op beheerders en hoogleraren bij faculteiten die banden hebben met de nationale veiligheid, of actief zijn bij instellingen die zich bezighouden met astrofysica en deeltjesfysica. Hoewel de doelgroep specifiek op deze faculteiten leek te zijn gericht, is het voor de exploit voldoende dat de e-mail in de e-mailclient wordt geopend om toegang tot de mailserver te verkrijgen. Hieruit blijkt dat de ontvangers zelf wellicht van weinig belang waren.
De aangevallen afdelingen zijn waarschijnlijk specifiek gekozen omdat ze allemaal versies van Roundcube gebruiken die gevoelig zijn voor n-day-kwetsbaarheden. Een n-day-kwetsbaarheid is een securitylek in software of hardware die openbaar is gemaakt en waarvoor officieel een patch of tijdelijke oplossing beschikbaar is, maar die nog niet is toegepast op de getroffen systemen. Dit wijst erop dat UNK_MassTraction voorafgaand aan de campagne verkenningen had uitgevoerd bij de doelwitten.
Dit zijn de belangrijkste bevindingen van het onderzoek:
- Nieuwe, aan China gelieerde dreigingsgroep geïdentificeerd: sinds mei 2026 volgt Proofpoint UNK_MassTraction. Deze groep richt zich op faculteiten voor natuurkunde en techniek aan Amerikaanse en Canadese universiteiten die banden hebben met onderzoek op het gebied van nationale veiligheid en geavanceerde wetenschappelijke vakgebieden.
- Meerfasige exploitatieketen: de actor koppelt meerdere n-day-kwetsbaarheden in Roundcube aan elkaar om inloggegevens te stelen, detectie te omzeilen en uiteindelijk permanente toegang te verkrijgen tot e-mailservers.
- E-mailservers als het nieuwe toegangspunt: in plaats van alleen e-mailinhoud te stelen, lijken de aanvallers gecompromitteerde e-mailservers te gebruiken als springplank naar bredere bedrijfsnetwerken, wat een evolutie weerspiegelt in de werkwijze van de Chinese cyberspionage.
- Geavanceerde operationele security: de malware bevat opschoonroutines, fallback-mechanismen en uitgestelde triggers om toegang te behouden en tegelijkertijd forensisch bewijs tot een minimum te beperken. Onderzoekers van Proofpoint zijn er ook van overtuigd dat delen van de toolkit waarschijnlijk zijn ontwikkeld met behulp van een LLM.
- Conclusie voor beveiligers: organisaties moeten e-mailservers die in verbinding staan met het internet met dezelfde prioriteit behandelen als VPN’s en andere edge-infrastructuur, door kwetsbaarheden snel te patchen en te monitoren op activiteiten na de exploitatie.
Hoewel de doelgerichtheid van deze campagne tot de verbeelding spreekt, is het onwaarschijnlijk dat UNK_MassTraction in de nabije toekomst diepgaande vragen uit de theoretische natuurkunde of de Fermi-paradox zal oplossen. UNK_MassTraction laat een geavanceerde toolkit zien en maakt op unieke wijze gebruik van n-day-kwetsbaarheden. De campagne laat zien dat e-mailverkeer kan leiden tot het compromitteren van de mailserver en dat Chinese operators deze zullen blijven behandelen als elk ander randapparaat. Beveiligingsbeheerders moeten daarom de security van de mailservers in hun netwerken net zo grondig aanpakken als die van hun VPN-concentrators en andere knooppunten voor externe toegang binnen hun netwerken.
Klik
hier om de volledige blog te lezen.