Una investigación de Proofpoint documenta la explotación de vulnerabilidades en Roundcube para robar credenciales, mantener acceso persistente y desplazarse dentro de redes institucionales.
Los servidores de correo electrónico se están convirtiendo en un objetivo prioritario para grupos de ciberespionaje. Una investigación de Proofpoint documenta una campaña que explotó vulnerabilidades en servidores Roundcube de universidades de Estados Unidos y Canadá para obtener credenciales, mantener acceso persistente y desplazarse dentro de las redes comprometidas.
El caso muestra un cambio de táctica: en vez de limitarse al envío de mensajes maliciosos para engañar a usuarios, los atacantes buscan comprometer directamente la infraestructura que sostiene el correo electrónico. Un servidor vulnerado puede convertirse en una puerta de entrada a otros sistemas de la organización.
Una campaña contra Roundcube
La investigación del equipo Proofpoint Threat Research atribuye la campaña al grupo denominado UNK_MassTraction, presuntamente alineado con intereses chinos. De acuerdo con la compañía, la actividad fue detectada desde mayo de 2026 y tuvo como objetivo servidores Roundcube de instituciones académicas de Estados Unidos y Canadá.
Los investigadores señalan que los atacantes explotaron múltiples vulnerabilidades conocidas en los servidores para ejecutar código malicioso a partir de un mensaje aparentemente inofensivo. Al abrirlo desde el cliente web, la víctima podía exponer credenciales, cookies y otros elementos de autenticación.
Con ese acceso, los responsables podían instalar herramientas destinadas a mantener su presencia en el servidor y avanzar hacia otros sistemas dentro de la red institucional.
IceCube y acceso persistente
Como parte de la campaña, Proofpoint identificó el malware IceCube, diseñado para capturar información de autenticación, ocultar actividad maliciosa y facilitar movimientos dentro de la red afectada. La investigación también detectó el uso del backdoor VShell para mantener acceso persistente a los sistemas comprometidos.
La compañía indicó además que parte del código analizado presenta indicios de haber sido desarrollado con apoyo de inteligencia artificial generativa. La observación ilustra cómo estas herramientas también pueden incorporarse al desarrollo de recursos utilizados en operaciones maliciosas.
El correo como infraestructura crítica
El hallazgo pone el foco en el servidor de correo como un activo de alto valor. Además de almacenar comunicaciones, suele concentrar credenciales, sesiones de autenticación y conexiones con otros servicios corporativos. Por ello, su compromiso puede tener consecuencias que van mucho más allá del acceso a una casilla de correo.
Proofpoint recomienda mantener actualizados los servidores, aplicar autenticación multifactor, proteger las credenciales, monitorear los accesos y capacitar a los usuarios. La empresa plantea que los sistemas de correo expuestos a internet deben recibir un nivel de protección equivalente al de otros activos críticos, como VPN, aplicaciones públicas y plataformas de acceso remoto.
Con información de Proofpoint Threat Research.
📬 Newsletter gratuito









