Roundcube-Angriffe: Hackergruppe zielt auf US-Universitäten seit Mai
Veröffentlicht: 09.07.2026 um 09:46 Uhr, Redaktion boerse-global.de
Die als UNK_MassTraction bezeichnete Gruppierung nutzt seit Mai 2026 Sicherheitslücken in Roundcube-Webmail-Servern, um in die Systeme von Universitäten einzudringen. Sicherheitsforscher von Proofpoint entdeckten die Kampagne.
Im Fokus stehen Fachbereiche für Physik, Ingenieurwesen, Astrophysik und Teilchenphysik. Die Angreifer zeigten zudem auffälliges Interesse an Forschungsprojekten mit Bezug zur nationalen Sicherheit. Das geht aus einem aktuellen Bericht der Cybersicherheitsfirma hervor.
Ausgenutzte Sicherheitslücken
Die Hacker nutzen gleich mehrere Schwachstellen in Roundcube-Servern aus. Im Zentrum stehen CVE-2024-42009, eine Cross-Site-Scripting-Lücke (XSS), sowie CVE-2025-49113, die Probleme bei der Deserialisierung betrifft. Hinzu kommt eine ältere Schwachstelle für die Ausführung von Schadcode aus dem Jahr 2023 (CVE-2023-43276).
Durch diese Angriffe können die Täter Sitzungsdaten stehlen und Zugangsdaten direkt von den Mail-Servern abgreifen. Proofpoint-Forscher bestätigten die Kompromittierung von weniger als zehn Universitäten. Die Dunkelziffer dürfte jedoch deutlich höher liegen – Schätzungen zufolge sind mehrere Dutzend Einrichtungen betroffen. Die Kampagne war bis mindestens Juni 2026 aktiv und könnte noch andauern.
Maßgeschneiderte Schadsoftware im Einsatz
Wer die gezielten Roundcube-Angriffe auf US-Universitäten verfolgt, weiß: Die Gefahr ist real. Dieser Report liefert eine konkrete Checkliste, um die ausgenutzten Sicherheitslücken zu schließen, MFA einzuführen und Ihr Netzwerk zu segmentieren – bevor UNK_MassTraction auch Ihre Einrichtung ins Visier nimmt. Jetzt kostenlosen Sicherheits-Report anfordern
Nach dem ersten Eindringen installiert UNK_MassTraction eine Reihe von Werkzeugen, um dauerhaft im Netzwerk zu bleiben und Daten abzuziehen. Zum Einsatz kommen:
- IceCube – ein Programm zum Stehlen von Zugangsdaten und Sitzungsinformationen
- SquareShell – eine sogenannte Webshell für dauerhaften Zugriff
- VShell – eine individuell entwickelte Hintertür
Eine Analyse des Schadcode-Codes förderte chinesischsprachige Textbausteine und Kommentare zutage, die offenbar mit KI-Unterstützung erstellt wurden. Diese Hinweise sowie die gezielte Auswahl der akademischen Ziele veranlassten Proofpoint zu der Einschätzung, dass die Gruppe im Interesse des chinesischen Staates handelt.
Gefahr für die Forschungssicherheit
Forschungseinrichtungen mit sensiblen Projekten (Physik, Ingenieurwesen, Astrophysik) sind bevorzugte Ziele chinesischer Hackergruppen. Die Kampagne UNK_MassTraction nutzt Roundcube-Lücken als Einfallstor. Unser Leitfaden zeigt, wie Sie mit Netzwerksegmentierung und Zugriffskontrollen verhindern, dass Angreifer nach einer Mail-Kompromittierung auf weitere Systeme zugreifen. Netzwerksegmentierungs-Leitfaden jetzt sichern
Der Kompromittierung von Mail-Servern kommt eine Schlüsselrolle zu: Sie dient als Einfallstor für umfassendere Netzwerkangriffe. Durch die Überwachung der Forscher können die Angreifer Einblicke in sensible technologische Entwicklungen und sicherheitsrelevante Projekte gewinnen.
Sicherheitsexperten empfehlen betroffenen Hochschulen, die identifizierten Sicherheitslücken umgehend zu schließen. Darüber hinaus sollten Einrichtungen eine Multi-Faktor-Authentifizierung (MFA) einführen und ihre Netzwerke streng segmentieren. Nur so lässt sich verhindern, dass Angreifer nach der Kompromittierung eines Mail-Servers auf weitere Systeme zugreifen können.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
