Hacker Diduga Berafiliasi dengan China Eksploitasi Celah Roundcube untuk Memata-matai Peneliti Akademik

Kelompok ancaman siber yang diduga berafiliasi dengan China dilaporkan mengeksploitasi kerentanan pada Roundcube Webmail untuk mencuri kredensial dan memasang malware backdoor di lingkungan universitas di Amerika Serikat dan Kanada.
Kampanye ini telah diamati sejak Mei 2026 dan secara khusus menargetkan fakultas fisika, teknik, administrator kampus, dosen, serta organisasi yang terlibat dalam riset astrofisika, fisika partikel, dan penelitian yang berkaitan dengan keamanan nasional.
Temuan tersebut diungkap oleh perusahaan keamanan siber Proofpoint, yang melacak aktivitas ini dengan nama UNK_MassTraction.
Serangan Dimulai dari Email Berbahaya
Rantai serangan diawali dengan pengiriman email phishing yang berasal dari akun yang telah dikompromikan atau domain yang dipalsukan.
Isi email menggunakan umpan yang bersifat umum sehingga tidak langsung menimbulkan kecurigaan.
Ketika korban membuka email melalui Roundcube Webmail yang masih rentan, pelaku memanfaatkan kerentanan Cross-Site Scripting (XSS) yang dilacak sebagai CVE-2024-42009.
Eksploitasi tersebut menjalankan kode JavaScript di browser korban dan memuat payload bernama IceCube.
IceCube Curi Kredensial dan Data Autentikasi
Menurut Proofpoint, IceCube merupakan malware pencuri data (stealer) yang dirancang khusus untuk Roundcube.
Malware ini mampu mengumpulkan berbagai informasi sensitif, antara lain:
- Username.
- Password.
- Cookie sesi.
- Data autentikasi dua faktor (2FA).
- Informasi browser.
Data tersebut kemudian dapat digunakan pelaku untuk memperoleh akses ke akun email maupun sistem internal organisasi.
Memanfaatkan Kerentanan Kedua untuk Memasang Backdoor
Selain mengeksploitasi CVE-2024-42009, malware juga menggunakan komponen tambahan (helper) untuk memanfaatkan kerentanan deserialization yang dilacak sebagai CVE-2025-49113.
Melalui celah tersebut, pelaku berupaya memasang SquareShell, sebuah PHP web shell yang memiliki kemampuan Remote Code Execution (RCE).
Apabila pemasangan SquareShell gagal, malware akan mengunduh skrip shell yang kemudian memuat payload lain bernama VShell langsung ke memori server.
VShell merupakan backdoor berbasis bahasa Go yang mendukung:
- Interactive shell.
- Port forwarding.
Backdoor ini diketahui cukup sering digunakan oleh kelompok ancaman yang berafiliasi dengan China dalam berbagai operasi siber.
Menargetkan Server yang Sudah Diketahui Rentan
Proofpoint menemukan bahwa pelaku tampaknya telah melakukan proses pengintaian (reconnaissance) sebelum melancarkan serangan.
Server yang menjadi sasaran dipilih karena sebelumnya telah diidentifikasi rentan terhadap:
- CVE-2024-42009
- CVE-2025-49113
Hal ini menunjukkan bahwa pelaku secara aktif mencari server Roundcube yang belum dipasang pembaruan keamanan sebelum memulai eksploitasi.
Diduga Bermotif Spionase
Proofpoint menilai bahwa UNK_MassTraction kemungkinan merupakan aktor spionase yang berafiliasi dengan China, meskipun tingkat keyakinan atribusi tersebut belum sepenuhnya tinggi.
Beberapa indikator yang mendukung dugaan tersebut meliputi:
- Infrastruktur serangan memiliki keterkaitan dengan jaringan VPS rahasia yang sebelumnya digunakan oleh beberapa kelompok ancaman asal China.
- Ditemukannya artefak berbahasa Mandarin pada email phishing dalam kampanye sebelumnya.
- Pola serangan yang menjadikan server email yang terekspos ke internet sebagai pintu masuk menuju jaringan internal, sebuah teknik yang kerap digunakan dalam operasi spionase siber China.
Meski demikian, Proofpoint menegaskan bahwa atribusi tersebut masih berupa penilaian berdasarkan indikator teknis dan belum dapat dipastikan secara mutlak.
Administrator Diminta Segera Memasang Patch
Sebagai langkah mitigasi, administrator Roundcube disarankan segera memasang pembaruan keamanan yang memperbaiki CVE-2024-42009 dan CVE-2025-49113.
Proofpoint juga mengingatkan bahwa server email seharusnya diperlakukan dengan tingkat perlindungan yang sama seperti VPN maupun layanan akses jarak jauh lainnya, karena sering kali menjadi target awal dalam operasi spionase maupun pencurian data.
Kasus ini kembali menunjukkan bahwa layanan email yang terekspos ke internet masih menjadi sasaran utama kelompok ancaman tingkat lanjut. Pembaruan keamanan secara rutin serta pemantauan aktivitas mencurigakan menjadi langkah penting untuk mencegah kompromi yang dapat berdampak pada seluruh jaringan organisasi.
Sumber: Proofpoint








