Secondo Proofpoint, un gruppo sospettato di essere allineato alla Cina ha colpito dipartimenti di fisica e ingegneria in università statunitensi e canadesi sfruttando vulnerabilità di Roundcube. Non un semplice phishing, ma una catena di exploit per compromettere i server di posta, rubare credenziali e mantenere accesso persistente. Un segnale che riguarda anche l’Europa: la ricerca scientifica è parte integrante della competizione strategica
Una campagna attribuita a un gruppo allineato alla Cina ha colpito dipartimenti di fisica e ingegneria in università Usa e canadesi sfruttando vulnerabilità di Roundcube. L’obiettivo era compromettere i server di posta, rubare credenziali e costruire accessi persistenti. Come? Attraverso una semplice mail.
Il gruppo è tracciato da Proofpoint con il nome Unk_MassTraction, sigla provvisoria utilizzata per cluster di attività ancora in fase di studio. Secondo i ricercatori, da maggio 2026 il gruppo ha sfruttato vulnerabilità “n-day” in Roundcube, client webmail open source, contro dipartimenti di fisica e ingegneria di università statunitensi e canadesi. Nel mirino sono finiti amministratori e professori legati a settori con rilevanza per la sicurezza nazionale, oppure a campi come l’astrofisica e la fisica delle particelle.
Il perimetro noto, per ora, è contenuto. CyberScoop scrive che Proofpoint ha identificato meno di dieci vittime universitarie, mentre Greg Lesnewich, principal threat researcher della società, stima che alcune decine di atenei potrebbero essere stati interessati. La campagna, osservata per la prima volta a maggio, sarebbe ancora in corso. È proprio questo il dato che pesa: molti bersagli potrebbero non sapere ancora di essere stati compromessi.
La catena tecnica ruota attorno a due vulnerabilità di Roundcube. La prima, Cve-2024-42009, consente l’esecuzione di codice JavaScript nel browser della vittima quando viene aperta un’email appositamente costruita; la seconda, Cve-2025-49113, permette a un utente autenticato di arrivare all’esecuzione remota di codice a causa di una deserializzazione non sicura. La National Vulnerability Database del Nist assegna alla prima un punteggio Cvss 9.3, “critical”, e alla seconda un punteggio Nist 8.8, con valutazione Mitre 9.9.
La dinamica
L’attacco iniziale non richiede una particolare interazione da parte del bersaglio: basta dunque aprire il messaggio nel client vulnerabile. Da quel momento il codice malevolo può caricare un payload successivo, definito da Proofpoint “IceCube”, capace di sottrarre username, password, materiale legato all’autenticazione a due fattori, cookie e informazioni di ricognizione sul browser. Poi arriva il passaggio decisivo: usare la sessione per sfruttare una seconda falla e ottenere un appiglio sul server di posta, tramite webshell o con il backdoor VShell in memoria. In questo caso, osserva Proofpoint, si cercava l’esposizione di un server tramie l’accesso alla email, il mailserver diventa un edge device, ovvero un’infrastruttura di frontiera dalla quale dirigersi poi verso sistemi più sensibili.
Proofpoint attribuisce la campagna a un attore probabilmente allineato alla Cina sulla base di più elementi: l’uso di infrastrutture già associate a gruppi China-aligned, la presenza di VShell, tracce in lingua cinese nei messaggi di phishing e un targeting a basso volume contro università nordamericane. Quadro coerente con un modello visto più volte, nel quale le fasi degli attacchi vedono una raccolta paziente, poi un ingresso persistente. Il tutto in un quadro strategico di interesse per tecnologia, ricerca e conoscenza scientifica a doppio uso.
A metà giugno, il Google Threat Intelligence Group ha descritto un’altra campagna attribuita a Unc6508, attore legato alla Repubblica Popolare Cinese, contro istituzioni nordamericane nei settori accademico, medico e della ricerca militare. In quel caso, secondo Google, gli obiettivi includevano intelligence di difesa, operazioni nell’Indo-Pacifico, intelligenza artificiale, sistemi senza equipaggio, programmi cyber offensivi e ricerca medica.
Non è difficile capire perché le università siano un obiettivo. Nei laboratori si concentra una parte dell’innovazione che domani potrà diventare vantaggio industriale, capacità militare, superiorità computazionale o influenza scientifica. Fisica, ingegneria, astrofisica, particelle: discipline apparentemente lontane dalla cronaca geopolitica, ma centrali nella competizione su sensori, materiali, energia, semiconduttori, quantistica, spazio e tecnologie dual use.
Per l’Europa, e per l’Italia, il nodo è meno distante di quanto sembri. Gli atenei e i centri di ricerca sono nodi aperti per definizione, collaborano, scambiano dati, ospitano visiting scholar, dialogano con imprese, ministeri, fondazioni e programmi internazionali. Questa apertura è una forza del sistema democratico della conoscenza. Ma è anche una superficie d’attacco, da proteggere con la stessa serietà con cui si proteggono infrastrutture critiche, reti governative e filiere industriali.















