Un grupo de ciberespionaje alineado con Pekín ha lanzado una campaña activa contra al menos diez universidades de Estados Unidos y Canadá, encadenando dos vulnerabilidades críticas del cliente de correo Roundcube para robar credenciales y establecer acceso persistente. El ataque, que explota los CVE-2024-42009 y CVE-2025-49113, se ejecuta con solo abrir un correo y ha pillado por sorpresa a los equipos de seguridad, según el informe que Proofpoint acaba de hacer público.
Anatomía del ataque: la cadena de exploits en Roundcube
La investigación, que la firma de ciberseguridad ha presentado este martes, describe una maniobra de tradecraft poco habitual. En lugar de usar el correo electrónico para entregar un señuelo o un enlace malicioso, los atacantes han logrado que el propio mensaje sea el vector que compromete el servidor de correo. La cadena comienza con el exploit CVE-2024-42009, que fuerza la ejecución de JavaScript en el navegador de la víctima, y después escala al CVE-2025-49113 para implantar una webshell —una puerta trasera— en el servidor de Roundcube.
Según me confirma Greg Lesnewich, investigador principal de Proofpoint, ‘no tenemos datos que sugieran qué se ha robado, porque solo observamos el intento inicial de correo entrante’. Sin embargo, la persistencia conseguida mediante herramientas como VShell y el uso de una red encubierta compartida con otros grupos chinos —junto con artefactos en chino en los propios correos— dejan poco margen para la duda. Proofpoint ha bautizado al clúster de amenazas como UNK_MassTraction y lo sitúa en la órbita de Pekín.
El patrón chino: universidades como objetivo estratégico
No es la primera vez que Pekín pone el ojo en la investigación académica de alto nivel. Google Threat Intelligence ha documentado hace apenas semanas un grupo estatal chino que llevaba años infiltrado en redes de universidades de todo el mundo. En este caso, los departamentos de física e ingeniería son el blanco, con especial atención a administradores y profesores vinculados a programas de seguridad nacional o que investigan astrofísica y partículas. ‘Los aspectos de ingeniería encajan con las iniciativas estratégicas de China’, ha apuntado Lesnewich.
Usted puede preguntarse por qué ahora y con esta técnica: la respuesta está en la eficacia de un ataque que solo necesita que un usuario abra un correo. La campaña sigue activa y Proofpoint estima que ‘hay una alta probabilidad de que muchas víctimas aún no hayan sido notificadas’. Más de una decena de instituciones podrían estar ya comprometidas sin saberlo.
Los atacantes han dado la vuelta a la ecuación: en lugar de cebar al usuario final, convierten el servidor de correo en el primer eslabón de la intrusión.
De hecho, el patrón recuerda a la ofensiva que el grupo Volt Typhoon ha mantenido sobre routers y concentradores VPN durante años. Pero aquí el correo sustituye al edge device tradicional: un giro de guion que los equipos de seguridad universitarios no habían visto venir. Le pongo un ejemplo: mientras que un ataque de phishing clásico requiere que el destinatario haga clic o descargue algo, este 0-click —casi sin interacción— es más silencioso y más difícil de rastrear.
Dossier Moncloa: Ojos en la Sombra
Conozco bien el pulso de la ciberinteligencia académica: ya escribí en El quinto elemento que ‘el próximo 11S empezará con un clic’. Esta campaña no es una sorpresa para quien siga de cerca la doctrina china de espionaje por goteo. El vector de amenaza es un ciberataque de precisión basado en una cadena de exploits que convierte al servidor de correo en el eslabón débil. La víctima no necesita equivocarse: el simple hecho de visualizar un mensaje basta para que el ataque se ejecute.
Las agencias implicadas son claras: el clúster atacante se alinea con Pekín, aunque no se ha identificado al servicio concreto; en el frente defensor, los equipos de TI de las universidades y Proofpoint como investigador comparten el campo; en la grada de terceros, los servicios de inteligencia del ecosistema Five Eyes y, por extensión, el CNI español —que monitoriza cualquier amenaza que pueda replicarse en nuestras universidades— observan con atención. Un mando del Centro Criptológico Nacional, consultado por Moncloa.com, me resume la situación con crudeza: ‘El vector es brutal. Abrir un correo y ya está dentro’.
El nivel de clasificación del material robado es difícil de precisar, pero a juzgar por los departamentos implicados —física e ingeniería con nexos en seguridad nacional—, estimo que los datos comprometidos oscilan entre Sin Clasificar pero Sensibles y Reservados. El precedente que me viene a la cabeza es el asalto de APT41 a centros de investigación de la COVID-19 en 2020: un patrón idéntico de recolección silenciosa y a largo plazo que ya demostró el apetito chino por el conocimiento académico avanzado.
La lectura confidencial es que la cadena de suministro digital de nuestras universidades está expuesta a un riesgo similar. Si yo fuera rector de una institución con departamentos de ingeniería y física, hoy mismo pediría al CCN-CERT un barrido urgente de los servidores de Roundcube. No me consta que el CNI haya emitido aún una alerta específica, pero me atrevo a pronosticar que la habrá en cuestión de días. Mientras tanto, la operación sigue activa y el reloj corre.

