
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Roundcube to popularny klient webmail wdrażany przez uczelnie, instytuty badawcze i organizacje utrzymujące własną infrastrukturę pocztową. Najnowsza kampania wymierzona w podatne instalacje pokazuje, że pozornie standardowy system pocztowy może stać się furtką do kradzieży poświadczeń, przejęcia sesji użytkowników, a w dalszej kolejności nawet do kompromitacji samego serwera.
W środowiskach akademickich poczta elektroniczna pełni szczególnie ważną rolę, ponieważ obsługuje komunikację administracyjną, współpracę naukową, wymianę dokumentów oraz dostęp do informacji o wysokiej wartości operacyjnej i wywiadowczej.
W skrócie
Badacze bezpieczeństwa opisali kampanię szpiegowską wymierzoną w podatne serwery Roundcube należące do organizacji akademickich i badawczych w Ameryce Północnej. Atakujący wykorzystywali lukę XSS oznaczoną jako CVE-2024-42009 do uruchamiania złośliwego kodu JavaScript w przeglądarce ofiary.
Następnie wdrażany był moduł przechwytujący dane logowania, pliki cookie, informacje o przeglądarce oraz dane związane z uwierzytelnianiem wieloskładnikowym. W dalszej fazie łańcucha ataku pojawiała się próba wykorzystania dodatkowej podatności, CVE-2025-49113, aby uzyskać trwały dostęp do serwera pocztowego.
Kontekst / historia
Kampania była obserwowana od maja 2026 roku i koncentrowała się na starannie wyselekcjonowanych celach. Wśród nich znajdowali się pracownicy wydziałów fizyki i inżynierii, administratorzy, profesorowie oraz podmioty powiązane z astrofizyką, fizyką cząstek i badaniami związanymi z bezpieczeństwem narodowym.
Taki dobór ofiar wskazuje, że motywacja napastników wykraczała poza klasyczną cyberprzestępczość nastawioną na szybki zysk. Charakter operacji sugeruje działania cyberszpiegowskie ukierunkowane na pozyskanie własności intelektualnej, danych badawczych, relacji instytucjonalnych oraz dostępu do projektów o strategicznym znaczeniu.
Analiza incydentu pokazuje również, że nie były to ataki przypadkowe. Napastnicy prawdopodobnie prowadzili wcześniejszy rekonesans, identyfikując środowiska podatne na konkretne błędy bezpieczeństwa i wybierając organizacje o wysokiej wartości operacyjnej.
Analiza techniczna
Łańcuch ataku rozpoczynał się od wiadomości e-mail wysyłanej z przejętych kont lub z domen podszywających się pod zaufane źródła. Sama wiadomość stanowiła nośnik inicjujący exploit. W momencie otwarcia wiadomości w podatnym webmailu Roundcube wykorzystywana była luka cross-site scripting, czyli CVE-2024-42009.
Skuteczne wykorzystanie XSS pozwalało uruchomić kod JavaScript w kontekście aktywnej sesji ofiary. W opisywanej kampanii ładowany był komponent określany jako IceCube, którego zadaniem było przechwytywanie wrażliwych danych, w tym nazw użytkowników, haseł, cookies, danych 2FA oraz informacji o środowisku przeglądarki.
Z punktu widzenia obrońcy to szczególnie niebezpieczny scenariusz, ponieważ atak jest osadzony w legalnej sesji webmaila i może utrudniać wykrycie przy użyciu tradycyjnych mechanizmów ochrony stacji roboczych.
Kolejny etap wykorzystywał tzw. helpery próbujące nadużyć podatności deserializacji oznaczonej jako CVE-2025-49113. Jeśli ten etap kończył się powodzeniem, na serwerze instalowany był webshell PHP określany jako SquareShell, który umożliwiał zdalne wykonywanie poleceń i utrzymanie trwałego dostępu.
Jeżeli instalacja webshella się nie udawała, obserwowano alternatywną ścieżkę obejmującą pobranie skryptu powłoki uruchamiającego kolejny ładunek bezpośrednio w pamięci. Tym ładunkiem był VShell, backdoor napisany w Go, oferujący interaktywną powłokę oraz przekierowanie portów. Tego typu funkcje ułatwiają ruch boczny, tunelowanie ruchu i dalszą infiltrację infrastruktury wewnętrznej.
W praktyce kompromitacja serwera pocztowego jest szczególnie groźna, ponieważ system ten często pełni rolę hosta brzegowego i bywa zintegrowany z katalogami użytkowników, mechanizmami SSO, archiwizacją poczty oraz narzędziami administracyjnymi.
Konsekwencje / ryzyko
Najbardziej bezpośrednim skutkiem kampanii jest kradzież poświadczeń i przejęcie aktywnych sesji użytkowników. W efekcie napastnik może uzyskać dostęp do korespondencji, analizować załączniki, monitorować komunikację oraz prowadzić dalsze działania phishingowe z legalnych kont.
Znacznie poważniejsze ryzyko pojawia się po uzyskaniu zdalnego wykonania kodu na serwerze pocztowym. W takim scenariuszu atakujący może przejść od kompromitacji pojedynczego konta do przejęcia kluczowego elementu infrastruktury.
- utrzymać trwały dostęp do systemu,
- wykradać dane z wielu skrzynek pocztowych,
- instalować dodatkowe narzędzia post-exploitation,
- wykonywać ruch boczny do innych zasobów,
- wykorzystywać zaufaną infrastrukturę organizacji do kolejnych operacji.
Dla uczelni i instytutów badawczych oznacza to ryzyko utraty własności intelektualnej, ujawnienia projektów grantowych, kompromitacji danych osobowych oraz naruszenia poufnej współpracy międzynarodowej. W środowiskach prowadzących badania o znaczeniu strategicznym incydent może mieć także wymiar geopolityczny i kontrwywiadowczy.
Rekomendacje
Organizacje korzystające z Roundcube powinny traktować serwery pocztowe jako systemy krytyczne dostępne z Internetu, porównywalne pod względem znaczenia z bramami VPN, portalami SSO i panelami administracyjnymi.
Priorytetem powinno być szybkie wdrożenie aktualizacji eliminujących podatności CVE-2024-42009 oraz CVE-2025-49113. Samo ograniczenie ekspozycji bez instalacji poprawek nie zapewnia wystarczającej ochrony.
Równolegle warto przeprowadzić szczegółowy przegląd logów aplikacyjnych, serwera WWW i systemu pocztowego pod kątem oznak nadużyć.
- nietypowych żądań powiązanych z Roundcube,
- anomalii sesyjnych,
- podejrzanych logowań administratorów i pracowników naukowych,
- tworzenia lub modyfikacji plików PHP w katalogach aplikacji,
- uruchomień procesów nietypowych dla hosta pocztowego.
Niezbędna jest także weryfikacja integralności środowiska Roundcube, w tym kontrola obecności nieautoryzowanych plików, webshelli i zmian konfiguracyjnych. Szczególną uwagę należy zwrócić na artefakty działające w pamięci, ponieważ część ładunków może nie pozostawiać klasycznych śladów na dysku.
W przypadku podejrzenia naruszenia warto wymusić reset haseł, unieważnienie aktywnych sesji oraz ponowną rejestrację metod MFA dla użytkowników objętych incydentem. Jeśli atakujący przejęli cookies sesyjne lub dane 2FA, sama zmiana hasła może okazać się niewystarczająca.
Dodatkowo wskazane jest wdrożenie kolejnych warstw detekcji i ograniczania skutków incydentu.
- monitorowania nietypowych działań w webmailu,
- detekcji XSS i nadużyć sesji,
- reguł wykrywających webshelle PHP,
- kontroli ruchu wychodzącego z serwera pocztowego,
- segmentacji sieci ograniczającej możliwość ruchu bocznego.
Podsumowanie
Opisana kampania potwierdza, że serwery pocztowe pozostają atrakcyjnym celem dla zaawansowanych grup prowadzących operacje szpiegowskie. Wykorzystanie luki XSS w Roundcube do kradzieży danych, a następnie próba eskalacji do poziomu serwera poprzez dodatkową podatność, pokazują skuteczność wieloetapowych łańcuchów ataku opartych na powszechnie używanym oprogramowaniu.
Dla sektora akademickiego i badawczego kluczowe znaczenie mają szybkie aktualizacje, stały monitoring środowiska pocztowego oraz traktowanie webmaila jako systemu o podwyższonym znaczeniu operacyjnym. Zaniedbania w tym obszarze mogą prowadzić nie tylko do wycieku danych, ale również do długotrwałej i trudnej do wykrycia infiltracji infrastruktury.
Źródła
- BleepingComputer – Hackers exploit Roundcube flaw to spy on academic researchers — https://www.bleepingcomputer.com/news/security/hackers-exploit-roundcube-flaw-to-spy-on-academic-researchers/
- Proofpoint – TA-ShadowCricket Targets Academic, Research, and Government Organizations Using Roundcube XSS — https://www.proofpoint.com/us/blog/threat-insight/ta-shadowcricket-targets-academic-research-government-organizations-roundcube-xss
- CVE Program – CVE-2024-42009 — https://www.cve.org/CVERecord?id=CVE-2024-42009
- CVE Program – CVE-2025-49113 — https://www.cve.org/CVERecord?id=CVE-2025-49113
- Roundcube Webmail – Security Updates — https://roundcube.net/news/