Attaque cyber sans clic exploite Roundcube pour lire les e-mails lors d’une intrusion

09 juil. 2026

Attaque cyber sans clic exploite Roundcube pour lire les e-mails lors d’une intrusion

La cyberattaque est le mot qui résume l’une des menaces les plus silencieuses découvertes cette année. Des chercheurs de Proofpoint ont identifié une campagne qui dispense le clic de la victime. Dès que le message apparaît à l’écran, l’intrusion commence. Ainsi, la cible perd l’accès avant même de se douter de quelque chose. Pour les développeurs, ce cas devient une leçon pratique sur la sanitisation du HTML.

L’opération a reçu le nom UNK_MassTraction. Elle vise les professeurs et les employés des départements de physique et d’ingénierie dans des universités des États-Unis et du Canada. De plus, les chercheurs pointent des indices liant l’affaire à la Chine. L’objectif est clair. Les criminels veulent des brevets, des recherches et des données stratégiques conservées sur les serveurs universitaires.

Comment la cyberattaque agit sans exiger aucun téléchargement

L’attaque débute par un courriel qui ressemble à une publicité ordinaire. De cette façon, le message passe inaperçu aux filtres et à l’attention de l’utilisateur. Cependant, le corps de l’e-mail cache un script malveillant dans le HTML. Lorsque la victime se contente de visualiser le contenu, une faille de Roundcube déclenche le code dans le navigateur.

Le point critique se situe là. Aucun fichier joint n’a besoin d’être ouvert. Aucun lien n’a besoin d’être cliqué. Par conséquent, la simple lecture suffit à livrer l’appareil à l’intrus. Même des professionnels expérimentés auraient du mal à mettre en place un déclencheur aussi discret. Toutefois, une vulnérabilité chez le fournisseur de messagerie a rendu ce travail sale de manière accidentelle.

IceCube, le malware JavaScript qui balaie le navigateur

Le script déclenché par la faille charge un outil baptisé IceCube. Il s’exécute en JavaScript et aurait peut-être bénéficié d’un appui en intelligence artificielle dans sa construction. Ensuite, le programme commence à fouiller le navigateur de la victime à la recherche de tout ce qui peut avoir de la valeur.

Parmi les cibles d’IceCube, on retrouve divers données sensibles. En voici les principales :

Autrement dit, le malware dresse un portrait complet de l’identité numérique de la cible. Avec cela, l’intrus obtient le matériel nécessaire pour les prochaines étapes.

Du courriel au serveur central, le saut latéral de la cyberattaque

Après avoir collecté les identifiants, IceCube se dirige vers le serveur de l’université. Cette progression se produit en raison d’une seconde faille dans les versions anciennes de Roundcube. Le malware envoie des données modifiées au serveur. Lorsque le système tente de lire ce contenu, il exécute un ordre des criminels.

En résultat, une application de contrôle à distance est installée. Cette fonction est une webshell. À partir de là, l’intrus maîtrise la machine comme s’il était assis devant elle. Ainsi, l’attaque cesse d’être un vol ponctuel et devient une présence permanente sur le réseau.

Le plan B rédigé en Go qui trompe l’antivirus

UNK_MassTraction détient également une seconde stratégie. Si la webshell échoue, le groupe télécharge une autre application similaire. Cependant, cette version s’exécute directement dans la mémoire RAM de l’ordinateur. De ce fait, elle ne laisse aucune trace sur le disque et échappe à une grande partie des antivirus.

Ce composant a été écrit en Go. Historiquement, des groupes liés au gouvernement chinois utilisent ce langage dans leurs opérations. De plus, le malware se déguise en un processus légitime du système. Par conséquent, l’antivirus ne voit qu’une activité routinière et ignore la menace.

Les traces qui pointent vers la Chine

Proofpoint évite une accusation directe. Néanmoins, les enquêteurs ont rassemblé des indices pertinents. Tout d’abord, ils ont retracé le chemin numérique des e-mails et Aboutit à des serveurs ressemblant à des structures déjà associées au gouvernement chinois.

À cela s’ajoutent des passages cachés dans le HTML des messages qui étaient en chinois. À cela s’ajoute l’utilisation du langage Go dans le plan B. Autrement dit, plusieurs signes convergent vers la même origine. Même sans une confirmation officielle, l’ensemble des preuves pèse lourd.

Ce que la faille de Roundcube enseigne à ceux qui développent

Le cas offre des leçons précieuses pour toute équipe d’ingénierie. Avant tout, il met en lumière le risque réel de rendre du HTML de tiers sans un nettoyage rigoureux. Par conséquent, traiter tout contenu externe comme hostile n’est plus une exagération mais une règle.

Voici les points qui méritent une attention immédiate :

Les logiciels non mis à jour ouvrent la porte à ce type de coup. C’est pourquoi le correctif n’est plus une tâche optionnelle. Il est devenu une ligne de défense centrale.

Conclusion sur la cyberattaque

Cette cyberattaque prouve que la simple lecture d’un message suffit pour compromettre un compte entier. L’ingéniosité d’UNK_MassTraction réside précisément dans la simplicité de la porte d’entrée. Cependant, la défense demeure à la portée de ceux qui développent. La sanitisation, la mise à jour constante et la surveillance forment le triptyque qui maintient le réseau protégé. En fin de compte, dans le contexte actuel, prévenir coûte bien moins cher que remédier.

Suivez notre Profil sur Instagram !

Fabien Delpont

Auteur

Fabien Delpont

Fabien Delpont, développeur et créateur du site Python Doctor.