Laut einem technischen Bericht von Proofpoint wurden die Phishing-Mails teils über kompromittierte Absender und teils über Domains verschickt, die sich wegen einer nachlässigen DMARC-Richtlinie für Spoofing missbrauchen ließen. Die verwendeten Lockmittel seien eher allgemein gehalten gewesen, was nach Einschätzung des Unternehmens auf ein breiteres Zielspektrum hindeutet, als innerhalb der eigenen Sichtbarkeit erkennbar war.

Der erste Schritt der Angriffskette nutzt die XSS-Schwachstelle CVE-2024-42009 in Roundcube aus. Für den Zugriff auf den Mailserver reicht es laut Proofpoint aus, dass das Opfer die E-Mail im Roundcube-Client öffnet. Dadurch lässt sich beliebiger JavaScript-Code im Kontext des Webbrowsers des Opfers ausführen. Proofpoint schließt daraus, dass die Angreifer ihre Ziele zuvor aufgeklärt und Informationen über deren Umgebung gesammelt haben.

Die nachgeladene Nutzlast mit dem Namen IceCube dient dazu, im Browser gespeicherte Zugangsdaten, Zwei-Faktor-Authentifizierungsdaten und Cookies abzugreifen. Zusätzlich sammelt sie Informationen wie Browsersprache, Bildschirmgröße und Werte aus Formularfeldern. Die erfassten Daten werden per HTTP-POST an ein externes System übertragen.

Im nächsten Schritt verwendet IceCube das CSRF-Token der laufenden Sitzung, um eine zweite, nur nach Anmeldung ausnutzbare Roundcube-Schwachstelle für Remotecodeausführung anzugreifen: CVE-2025-49113. Ziel ist es, auf dem Mailserver Fuß zu fassen und entweder VShell oder eine Web-Shell namens SquareShell direkt im Speicher abzulegen. Die Web-Shell wird per PHP-Gadget-Shell-Befehl installiert, ist über den Pfad „plugins/newmail_notifier/mail_preview.php“ erreichbar und erlaubt die Ausführung beliebigen Codes.

Scheitert die Installation von SquareShell, weicht die Angriffskette auf einen alternativen Weg aus. Dann wird über die Roundcube-Schwachstelle ein Shell-Skript ausgeführt, das letztlich VShell nachlädt. Dieser zweite Mechanismus wurde laut Proofpoint im Juni 2026 eingeführt; zuvor brach die Kette an dieser Stelle einfach ab. Das Shell-Skript dient als Transportmittel für einen ELF-Loader namens SNOWLIGHT, der bereits in anderen Eindringversuchen chinesischer Akteure eingesetzt worden sei. Sowohl SNOWLIGHT als auch VShell wurden in der Vergangenheit mit dem China-bezogenen Cluster UNC5174 in Verbindung gebracht.

Proofpoint hält es deshalb für möglich, dass dieses Shell-Skript privat von mehreren Clustern mit China-Bezug geteilt wird, ähnlich wie ShadowPad und andere Werkzeuge. Seine Hauptaufgabe besteht darin, eine zur Systemarchitektur des Hosts passende SNOWLIGHT-Version zu laden und auszuführen.

Auffällig ist laut Proofpoint auch, dass IceCube sogenannte „verzögerte Auslöser“ einrichtet, um die Angriffskette fortzusetzen. Die Schadsoftware überwacht demnach, ob der Nutzer die Seite schließt oder den Tab wechselt, prüft, ob die Maus das Browserfenster verlässt, und kapert die Abmeldeschaltfläche. Tritt eines dieser Ereignisse ein, versucht IceCube erneut, CVE-2025-49113 auszunutzen, und meldet dem Command-and-Control-System, dass der Nutzer die Roundcube-Sitzung verlassen hat.

Nach Abschluss dieser Schritte oder bei einem Zeitablauf beendet die in JavaScript geschriebene Schadsoftware sowohl Nutzer- als auch von der Malware gestartete Sitzungen auf dem Server. Das führt dazu, dass der Nutzer abgemeldet wird und mit dem Angriff verknüpfte forensische Spuren auf dem Roundcube-Server gelöscht werden. VShell selbst ist in Go geschrieben, fungiert als Fernverwaltungswerkzeug mit Fähigkeiten nach einer Kompromittierung ähnlich Cobalt Strike und wurde in den vergangenen Jahren von verschiedenen China-nahen Akteuren verwendet.

Nach Angaben von Proofpoint ist dies das erste Mal, dass eine chinesische Hackergruppe mit der Ausnutzung von Roundcube-Schwachstellen in Verbindung gebracht wird. Bislang seien solche Lücken vor allem von staatlich unterstützten Akteuren aus Russland missbraucht worden.