La APT rusa explota Zimbra XSS para atacar al gobierno ucraniano en la "Operación GhostMail"

Un actor de amenazas vinculado al estado ruso lanzó un ciberataque dirigido contra una agencia del gobierno ucraniano, explotando una vulnerabilidad de secuencias de comandos entre sitios (XSS) en Zimbra Collaboration Suite para robar credenciales y datos confidenciales de correo electrónico. El ataque se realizó a través de un correo electrónico de phishing recibido el 22 de enero de 2026 por la Agencia Estatal de Hidrología de Ucrania, un organismo nacional de infraestructura crítica dependiente del Ministerio de Infraestructura de Ucrania.

Los investigadores de Seqrite identificaron la campaña después de que el correo electrónico de phishing se cargara en VirusTotal el 26 de febrero de 2026, sin registrar detecciones en ese momento. El exploit se centró en CVE-2025-66376, una vulnerabilidad XSS almacenada en Zimbra Collaboration Suite parcheada en las versiones 10.0.18 y 10.1.13 de ZCS en noviembre de 2025. Correo electrónico de phishing (Fuente: Seqrite) La falla implica una desinfección insuficiente del contenido HTML mediante directivas @import CSS. Basado en superposiciones técnicas con patrones de exploit de Zimbra previamente documentados y la naturaleza geopolítica del objetivo, Seqrite atribuyó la Operación GhostMail a APT28 (Fancy Bear) con confianza media.

El dominio C2 codificado era zimbrasoft[.]com[.]ua, registrado el 20 de enero de 2026, dos días antes de que llegara el correo electrónico de phishing. La publicación APT rusa explota Zimbra XSS para atacar al gobierno ucraniano en la "Operación GhostMail" apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗