Grupo Hacker russo APT28 explorou Zero-Day no MDaemon para invadir servidores de webmail governamentais

O grupo hacker APT28, vinculado ao governo russo, foi identificado como responsável por uma campanha de ciberespionagem que explorou falhas em servidores de webmail amplamente utilizados, como Roundcube, Horde, MDaemon e Zimbra. A ofensiva, batizada de Operação RoundPress pela empresa de cibersegurança eslovaca ESET, envolveu o uso de vulnerabilidades do tipo cross-site scripting (XSS) — incluindo uma falha zero-day no MDaemon — para acessar contas de e-mail e roubar dados confidenciais de organizações governamentais e militares.

Segundo a ESET, o objetivo principal da campanha é espionar contas de e-mail estratégicas, com foco especial em entidades governamentais da Ucrânia e empresas de defesa na Bulgária e Romênia, algumas envolvidas na produção de armamentos da era soviética para apoio à Ucrânia. A ação também afetou organizações da Grécia, Camarões, Equador, Sérvia e Chipre. O ataque consiste em enviar e-mails com códigos JavaScript maliciosos ocultos no corpo HTML das mensagens. Esses códigos exploram falhas XSS e, ao serem abertos no navegador pelo destinatário, executam o SpyPress — um script que rouba credenciais, mensagens e contatos da caixa de entrada.

A falha mais crítica utilizada, a CVE-2024-11182, era desconhecida até então e foi corrigida apenas em novembro de 2024 na versão 24.5.1 do MDaemon, confirmando o uso de um zero-day pela operação. As outras vulnerabilidades exploradas já estavam documentadas e corrigidas, como a CVE-2023-43770, relacionada ao Roundcube, incluída em fevereiro de 2024 no catálogo de vulnerabilidades ativamente exploradas da CISA. O malware SpyPress não possui persistência, mas é recarregado sempre que o e-mail malicioso é aberto novamente, e versões mais avançadas ainda criam regras no servidor (Sieve) para encaminhar automaticamente cópias de novos e-mails aos invasores.

Além de capturar e-mails, o SpyPress também pode obter históricos de login, códigos de autenticação em dois fatores (2FA) e criar senhas de aplicativo para garantir acesso contínuo às caixas de e-mail, mesmo após alterações de senha ou 2FA. Para garantir eficácia, o ataque depende de a vítima abrir o e-mail no portal web vulnerável — tornando o bypass dos filtros de spam um passo importante da operação.

De acordo com a ESET, o sucesso desse tipo de ataque se deve, em parte, ao fato de muitas organizações não atualizarem regularmente seus servidores de webmail. Como os ataques podem ser disparados remotamente com o simples envio de um e-mail, torna-se uma técnica extremamente atrativa para grupos hackers especializados em espionagem digital como APT28, Winter Vivern e GreenCube.

Via - THN