تخطى إلى المحتوى الرئيسي

قراصنة صينيون يستغلون ثغرات Roundcube لاختراق جامعات أمريكية وكندية

فريق جلتش
منذ ساعة0 مشاهدة4 دقائق
قراصنة صينيون يستغلون ثغرات Roundcube لاختراق جامعات أمريكية وكندية

قراصنة صينيون يستغلون ثغرات حرجة في برنامج Roundcube لاختراق جامعات أمريكية وكندية. يظهر الهجوم تطوراً في استهداف البنية التحتية الأكاديمية الحساسة.

مقدمة تحليلية

في مايو 2026، رصدت Proofpoint مجموعة تهديد إلكتروني صينية مشتبه بها، تُعرف باسم UNK_MassTraction، تستغل ثغرات حرجة في برنامج Roundcube webmail. استهدف الهجوم بشكل خاص أقسام الفيزياء والهندسة في جامعات أمريكية وكندية، مستغلاً CVE-2024-42009 (بدرجة CVSS: 9.3) لسرقة بيانات الاعتماد، وهو ما يمثل تصعيداً خطيراً في استهداف المؤسسات الأكاديمية المرتبطة بالأمن القومي.

التحليل التقني

تتمحور هذه الحملة المتقنة حول استغلال ثغرات متعددة في برنامج Roundcube، وهو حل بريد إلكتروني مفتوح المصدر شائع يستخدمه العديد من المؤسسات الأكاديمية والبحثية. تبدأ سلسلة الهجوم برسالة بريد إلكتروني مصممة بعناية، والتي تستغل ثغرة XSS (cross-site scripting) تحت معرف CVE-2024-42009. يتطلب هذا الاستغلال ببساطة من المستلم فتح البريد الإلكتروني في عميل Roundcube الخاص به، مما يؤدي إلى تنفيذ تعليمات JavaScript برمجية خبيثة في سياق متصفح الضحية.

الحمولة الأولية، والتي أطلق عليها اسم IceCube، مصممة بدقة لجمع المعلومات الحساسة. تقوم بسرقة بيانات الاعتماد المخزنة في المتصفح، بالإضافة إلى رموز المصادقة الثنائية (2FA) وملفات تعريف الارتباط. كما تجري IceCube استطلاعاً شاملاً لجمع معلومات حول:

  • لغة المتصفح
  • حجم الشاشة
  • قيم حقول النماذج

يتم إرسال هذه المعلومات التي تم جمعها إلى نظام خارجي عبر طلب HTTP POST. في خطوة لاحقة، تستخدم IceCube رمز CSRF للجلسة لاستغلال ثغرة تنفيذ التعليمات البرمجية عن بعد (RCE) الثانية في Roundcube، وهي CVE-2025-49113 (بدرجة CVSS: 9.9). تتيح هذه الثغرة، التي يتم تفعيلها بعد المصادقة، للمهاجمين ترسيخ موطئ قدم لهم في خادم البريد.

بعد ترسيخ الموطئ، تقوم المجموعة بنشر أدوات ما بعد الاستغلال إما:

  • SquareShell: وهو web shell يعتمد على PHP، يتم نشره في الذاكرة ويمكن الوصول إليه عن بعد عبر نقطة النهاية "plugins/newmail_notifier/mail_preview.php"، مما يتيح تنفيذ تعليمات برمجية عشوائية.
  • VShell: في حال فشل نشر SquareShell، تعود سلسلة الهجوم إلى آلية بديلة حيث يتم تنفيذ برنامج نصي (shell script) عبر ثغرة Roundcube لتسليم VShell. VShell هو أداة إدارة عن بعد مكتوبة بلغة Go، توفر إمكانيات ما بعد الاختراق مشابهة لـ Cobalt Strike، وقد استخدمتها مجموعات صينية أخرى في الماضي.

أكد باحثو Proofpoint، غريغ ليسنيويتش ومارك كيلي، أن المشغلين قاموا بصياغة سلسلة الإصابة لتجنب الكشف، وأن IceCube تضع ما تسميه 'deferred triggers' لضمان استمرارية سلسلة الإصابة. تراقب هذه المحفزات إغلاق المستخدم للصفحة، أو تغيير علامات التبويب، أو مغادرة مؤشر الماوس نافذة المتصفح، أو النقر على زر تسجيل الخروج. عند حدوث أي من هذه الإجراءات، تعيد IceCube محاولة استغلال CVE-2025-49113 وتتصل بخادم القيادة والتحكم (C&C) للإبلاغ بأن المستخدم غادر جلسة Roundcube. عند الانتهاء أو انتهاء المهلة، يدمر البرنامج الضار الجلسات، مما يؤدي إلى تسجيل خروج المستخدم ومسح الأدلة الجنائية من خادم Roundcube.

تشير Proofpoint إلى أن البرنامج النصي الذي يسلم VShell تم تقديمه في يونيو 2026، وقد ارتبط سابقًا باستخدام SNOWLIGHT، وهو محمل ELF معروف، في عمليات اختراق أخرى منسوبة لخصوم صينيين، بما في ذلك UNC5174. على الرغم من ذلك، لا توجد بيانات تربط مباشرة UNK_MassTraction بـ UNC5174 أو خصوم معروفين آخرين، مما يشير إلى أن مجموعة الأدوات قد يتم مشاركتها بشكل خاص بين مجموعات صينية متعددة.

السياق وتأثير السوق

يمثل هذا الهجوم تحولاً مهماً في مشهد التهديدات السيبرانية، خاصة فيما يتعلق بالجهات الفاعلة المدعومة من الدول واستهدافها لـ Roundcube.

  • UNK_MassTraction (صين) مقابل الجهات الروسية التقليدية: تاريخياً، كانت المجموعات المدعومة من روسيا هي من تستغل ثغرات Roundcube، مثل APT28. هذا الهجوم يمثل المرة الأولى التي تُربط فيها مجموعة قرصنة صينية باستغلال هذه الثغرات، مما يشير إلى توسع في استراتيجيات المجموعات الصينية وتبنيها لأهداف وتقنيات جديدة. المنتصر هنا هو جهات التهديد التي توسع نطاق أدواتها وأهدافها، بينما الخاسر هو الفهم الأمني التقليدي لنقاط الضعف المستغلة.
  • الجامعات مقابل جهات التهديد المتقدمة: الاستهداف المحدد لأقسام الفيزياء والهندسة ذات الصلة بالأمن القومي يؤكد أن هذه الهجمات لا تتعلق بسرقة بيانات عشوائية، بل باختراق البنية التحتية البحثية الحساسة. الجامعات، التي غالبًا ما تكون أهدافًا ناعمة مقارنة بالقطاعات الحكومية أو العسكرية، أصبحت ساحة معركة رئيسية. الخاسرون الواضحون هم المؤسسات الأكاديمية التي قد تفتقر إلى الموارد الأمنية اللازمة لصد مثل هذه الهجمات المعقدة، والمنتصرون هم المهاجمون الذين ينجحون في الوصول إلى أبحاث حساسة.

التركيز على خوادم البريد التي تعمل بإصدارات Roundcube القديمة أو غير المحدثة يبرز أن المهاجمين يقومون باستطلاع مسبق لتحديد الأهداف الضعيفة. هذا يدل على أنهم لا يطلقون الهجمات عشوائياً، بل يستثمرون الوقت والجهد لتخطيط عملياتهم، مما يزيد من فرص نجاحهم ويضع عبئاً إضافياً على مسؤولي الأمن لتحديد وتحديث الأنظمة المعرضة للخطر بسرعة.

رؤية Glitch4Techs

هذه الحملة تؤكد بشكل قاطع أن خوادم البريد الإلكتروني ليست مجرد بوابات للاتصالات، بل هي أجهزة حافة حاسمة ومعرضة للخطر مثل أي موجه VPN أو نقطة وصول عن بُعد. الدفاعات الحالية للعديد من المؤسسات، وخاصة الأكاديمية، تبدو متخلفة عن التطور السريع في أساليب المهاجمين. على فرق الأمن أن تعيد تقييم استراتيجياتها بشكل جذري، بدءاً من تحديثات البرامج الدورية وصولاً إلى تطبيق سياسات DMARC الصارمة ومراقبة السلوك غير الطبيعي على خوادم البريد. إهمال هذه البنية التحتية الحيوية يعني ترك الباب مفتوحاً أمام جهات تهديد متطورة تستهدف أثمن أصولنا البحثية والفكرية. الرهان ليس على من سيفوز بالمعركة الفكرية، بل على من سيؤمن البنية التحتية أولاً.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.

مقالات قد تهمك