Peretas Diduga China Manfaatkan Celah Keamanan Roundcube Serang Universitas AS dan Kanada
Sebuah kelompok aktivitas ancaman yang diduga berafiliasi dengan China telah memanfaatkan celah keamanan pada perangkat lunak webmail Roundcube yang digunakan oleh departemen fisika dan teknik di universitas-universitas Amerika Serikat dan Kanada dalam kampanye siber terbaru.
Eksploitasi Celah Keamanan Roundcube yang Sudah Ditambal
Kelompok ancaman yang diberi nama UNK_MassTraction oleh perusahaan keamanan siber Proofpoint ini pertama kali terdeteksi pada Mei 2026. Mereka menargetkan administrator dan profesor di departemen yang memiliki keterkaitan dengan keamanan nasional serta studi astrofisika dan fisika partikel.
Serangan ini memanfaatkan celah keamanan kritis yang sebelumnya sudah diperbaiki, seperti CVE-2024-42009 dengan skor CVSS 9.3, yang memungkinkan peretas mencuri kredensial pengguna. Setelah itu, peretas memasang web shell untuk akses persisten atau menggunakan alat pasca-eksploitasi bernama VShell.
"Email yang menargetkan departemen universitas menggunakan pengirim yang sudah dikompromikan serta domain yang rentan terhadap spoofing karena kebijakan DMARC yang lemah," kata laporan teknis dari Proofpoint yang dibagikan kepada The Hacker News. Mereka menambahkan bahwa penggunaan umpan phishing generik menandakan target yang lebih luas dari yang terlihat saat ini.
Metode Serangan dan Tahapan Eksploitasi
Eksploitasi ini memanfaatkan kelemahan cross-site scripting (XSS) yang memungkinkan peretas memperoleh akses hanya dengan korban membuka email di klien Roundcube. Target dipilih karena mereka menggunakan versi Roundcube yang rentan terhadap celah keamanan tipe N-day.
Peretas diduga melakukan reconnaissance terlebih dahulu untuk mengumpulkan data tentang lingkungan target sebelum mengirim email phishing yang memicu eksploitasi CVE-2024-42009 dan menjalankan kode JavaScript arbitrer di browser korban.
"Pelaku kemungkinan menggunakan server Roundcube sebagai titik pijakan untuk masuk ke jaringan target, dan rantai infeksi dirancang khusus agar sulit terdeteksi," ujar peneliti Proofpoint, Greg Lesnewich dan Mark Kelly.
Payload dengan nama sandi IceCube dirancang mencuri informasi kredensial termasuk autentikasi dua faktor (2FA) dan cookie yang tersimpan di browser. IceCube juga mengumpulkan data seperti bahasa browser, ukuran layar, dan nilai kolom formulir untuk melakukan pengintaian lebih lanjut.
Data yang dikumpulkan dikirim ke sistem eksternal melalui permintaan HTTP POST. IceCube kemudian memakai token CSRF sesi untuk mengeksploitasi kelemahan eksekusi kode jarak jauh pasca-autentikasi lainnya di Roundcube, yaitu CVE-2025-49113 dengan skor 9.9, guna mendapatkan pijakan permanen di server email dan memasang VShell atau web shell bernama SquareShell.
Penggunaan Web Shell dan Alat Serangan Tambahan
SquareShell dapat diakses dari endpoint "plugins/newmail_notifier/mail_preview.php" dan memungkinkan eksekusi kode arbitrer. Jika pemasangan SquareShell gagal, rantai serangan menggunakan metode alternatif dengan menjalankan skrip shell melalui celah Roundcube untuk memasang VShell.
Metode alternatif ini diperkenalkan pada Juni 2026, sebelumnya serangan akan berhenti jika SquareShell gagal dipasang. Skrip shell ini berfungsi sebagai pengantar loader ELF bernama SNOWLIGHT, yang sudah digunakan dalam serangan lain oleh kelompok yang berafiliasi dengan China.
Penggunaan SNOWLIGHT dan VShell sebelumnya dikaitkan dengan kelompok China yang dikenal sebagai UNC5174. Hal ini menunjukkan skrip tersebut mungkin dibagikan secara privat antar beberapa kelompok peretas yang terkait dengan China, mirip dengan alat berbahaya seperti ShadowPad.
Strategi Pertahanan dan Implikasi Keamanan
Proofpoint menjelaskan bahwa IceCube juga memasang "pemicu tertunda" untuk memastikan kelangsungan rantai infeksi. Pemicu ini memonitor tindakan pengguna seperti menutup halaman, beralih tab, meninggalkan jendela browser, atau menekan tombol logout. Jika terjadi tindakan tersebut, IceCube akan mencoba kembali eksploitasi CVE-2025-49113 dan mengirim sinyal ke server komando dan kontrol (C&C) bahwa sesi Roundcube telah ditinggalkan.
Setelah proses selesai atau terjadi batas waktu, malware akan menghapus sesi pengguna dan sesi yang dibuat malware di server, menyebabkan logout otomatis dan menghilangkan jejak forensik di server Roundcube.
VShell sendiri adalah alat administrasi jarak jauh yang ditulis dalam bahasa Go, menyediakan kemampuan pasca-kompromi mirip Cobalt Strike dan banyak digunakan oleh aktor siber yang terkait dengan China dalam beberapa tahun terakhir.
Analisis Redaksi
Menurut pandangan redaksi, kampanye serangan yang dilakukan oleh UNK_MassTraction menandai pergeseran signifikan dalam taktik kelompok peretas China yang mulai memanfaatkan celah keamanan perangkat lunak open-source populer seperti Roundcube. Target yang berfokus pada departemen dengan hubungan keamanan nasional dan riset fisika menunjukkan upaya spionase siber yang sangat terarah dan matang.
Penggunaan alat-alat canggih seperti VShell dan SNOWLIGHT serta teknik pengelakan deteksi yang rumit mempertegas keseriusan ancaman ini. Ini menjadi peringatan keras bagi institusi pendidikan dan riset untuk tidak mengabaikan pembaruan keamanan perangkat lunak serta memperkuat pertahanan pada server email, yang sering dianggap sebagai pintu belakang jaringan.
Ke depan, institusi harus memperhatikan implementasi kebijakan keamanan seperti DMARC dan meningkatkan kesadaran staf terhadap phishing yang semakin canggih. Selain itu, pengawasan terhadap akses jarak jauh dan monitoring aktivitas anomali di server email menjadi sangat penting untuk mencegah kompromi yang berdampak luas.
Untuk informasi lebih lanjut dan pembaruan terkini mengenai dunia keamanan siber, Anda dapat mengikuti laporan resmi dari The Hacker News dan sumber berita teknologi terpercaya lainnya.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0