Um grupo de ameaças com ligação à China está explorando vulnerabilidades críticas no Roundcube webmail de universidades nos EUA e no Canadá. A campanha, que tem como alvo departamentos de física e engenharia, aproveita falhas como o CVE-2024-42009 (CVSS 9.3) para roubar credenciais de contas de pesquisa acadêmica. As vulnerabilidades foram corrigidas em 2024, mas atrasos na aplicação de patches em ambientes acadêmicos permitiram a exploração contínua.

O Vetor Técnico Do Ataque

O Roundcube é uma solução de webmail open-source amplamente utilizada em ambientes acadêmicos e governamentais. O CVE-2024-42009 é uma vulnerabilidade XSS (cross-site scripting) armazenada que permite a execução de JavaScript arbitrário no navegador da vítima ao abrir um email — sem necessidade de clique ou qualquer interação adicional.

O mecanismo é insidioso pela sua simplicidade. O atacante envia uma mensagem HTML com scripts embutidos que são renderizados pelo Roundcube quando a vítima abre a mensagem. O JavaScript captura tokens de sessão e credenciais armazenadas no navegador, enviando-os silenciosamente para um servidor controlado pelo atacante. A classificação CVSS 9.3 reflete a severidade combinada da exploração remota sem interação e o impacto na confidencialidade e integridade dos dados do usuário.

O CVE-2024-42008, companheiro do 42009, é uma segunda vulnerabilidade XSS que requer clique do usuário — menos severa (CVSS 8.1), mas útil como vetor alternativo quando o primeiro falha. Juntas, as duas falhas representam um arsenal completo contra instâncias Roundcube desatualizadas.

Alvos E Motivação Da China

A campanha foca especificamente em departamentos de física e engenharia de instituições acadêmicas nos Estados Unidos e Canadá. Essas áreas concentram pesquisas associadas a projetos sensíveis — defesa nacional, semicondutores, materiais avançados e tecnologia dual-use com aplicações militares e civis.

O roubo de credenciais de webmail concede acesso contínuo a comunicações contendo propostas de financiamento de pesquisa, dados não publicados e colaborações entre pesquisadores de diferentes instituições. Com as credenciais em mãos, o atacante acessa a caixa de correio diretamente via web, sem depender mais do exploit inicial, mantendo acesso persistente por meses sem gerar alertas nos sistemas de detecção.

Esse padrão de segmentação é consistente com operações de coleta de inteligência científica e tecnológica atribuídas a atores patrocinados por estados-nação. O CERT.PL documentou campanha semelhante (UNC1151) em 2025, usando as mesmas vulnerabilidades Roundcube contra alvos europeus, sugerindo um kit de exploração compartilhado entre diferentes clusters de ameaças.

Vulnerabilidades E Impacto Quantificado

Vulnerabilidade CVSS Impacto
CVE-2024-42009 (XSS) 9.3 Execução de JS sem interação do usuário
CVE-2024-42008 (XSS) 8.1 XSS armazenado com clique do usuário
Versões afetadas Roundcube ≤ 1.6.7 e ≤ 1.5.7
Versões corrigidas Roundcube 1.6.8 e 1.5.8 (ago 2024)

A janela de exploração existe porque os departamentos de TI acadêmicos frequentemente operam com recursos limitados e atrasos significativos na aplicação de patches em sistemas legados. Instâncias Roundcube em subdomínios universitários são alvos particularmente fáceis de identificar via técnicas de OSINT.

Cronologia Da Exploração

  • Jul 2024: CVE-2024-42009 divulgado publicamente pela SonarSource com PoC técnico detalhado.
  • Ago 2024: Roundcube lança correções nas versões 1.6.8 e 1.5.8.
  • Jun 2025: CERT.PL documenta UNC1151 explorando as mesmas falhas contra alvos europeus.
  • 2025-2026: Atrasos persistentes em patching acadêmico mantêm instâncias vulneráveis online.
  • Jul 2026: The Hacker News reporta novo cluster APT atacando universidades nos EUA e Canadá.

Medidas De Proteção Imediata

Atualize o Roundcube para a versão mais recente disponível — as correções para CVE-2024-42009 e CVE-2024-42008 foram lançadas em agosto de 2024. Habilite headers Content-Security-Policy restritivos no servidor web para bloquear execução de scripts inline e não confiáveis. Implemente autenticação multifator (MFA) no acesso ao webmail — mesmo com credenciais roubadas via XSS, o atacante não conseguirá estabelecer novas sessões sem o segundo fator.

Monitore logs de acesso ao webmail por endereços IP fora do perfil esperado da instituição e padrões de acesso em horários incomuns. Considere restrições de acesso geográfico para a interface de administração do Roundcube. Execute verificações regulares de versão para garantir que todas as instâncias estão atualizadas, incluindo instâncias não gerenciadas operadas por departamentos individuais.

Fontes