Atacantes que forman parte de **APT28**, un grupo de amenazas respaldado por el estado y vinculado al servicio de inteligencia militar de Rusia (GRU), están explotando una vulnerabilidad en **Zimbra Collaboration Suite (ZCS)** en ataques dirigidos a entidades gubernamentales ucranianas. ### CVE-2025-66376: Una Falla XSS de Alta Severidad Esta falla de seguridad de alta severidad (rastreada como **CVE-2025-66376** y parcheada a principios de noviembre) se deriva de una vulnerabilidad de cross-site scripting (XSS) almacenado. Los atacantes no autenticados pueden explotarla para obtener ejecución remota de código (RCE) y comprometer el servidor Zimbra y la cuenta de correo electrónico del objetivo. ### CISA Agrega Vulnerabilidad a su Catálogo de Vulnerabilidades Explotadas Conocidas El miércoles, la Agencia de Ciberseguridad e Infraestructura de EE. UU. (**CISA**) agregó la vulnerabilidad a su catálogo de vulnerabilidades explotadas en la naturaleza. CISA también ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que aseguren sus servidores en un plazo de dos semanas, según lo estipulado por la Directiva Operacional Vinculante (BOD) 22-01 emitida en noviembre de 2021. ### Operación GhostMail Tiene como Objetivo Ucrania Si bien la agencia de ciberseguridad de EE. UU. no proporcionó detalles adicionales sobre la explotación en curso de **CVE-2025-66376**, investigadores de seguridad en **Seqrite Labs** informaron un día antes que la vulnerabilidad XSS de Zimbra había sido explotada por hackers militares de APT28 en ataques contra Ucrania. La Agencia Estatal de Hidrología de Ucrania (una entidad de infraestructura crítica bajo el Ministerio de Infraestructura que brinda apoyo de navegación, marítimo e hidrográficos) fue uno de los objetivos de esta campaña de phishing (denominada Operación GhostMail). "El correo electrónico de phishing no tiene archivos adjuntos maliciosos, ni enlaces sospechosos, ni macros. Toda la cadena de ataque reside dentro del cuerpo HTML de un solo correo electrónico, no hay archivos adjuntos maliciosos", dijeron los investigadores de Seqrite Labs.  ### Detalles del Ataque Los mensajes maliciosos de los hackers de **APT28** (también conocidos como Fancy Bear, Strontium) entregaron un payload de JavaScript ofuscado que explota la vulnerabilidad **CVE-2025-66376** cuando el destinatario abre el correo electrónico en una sesión webmail de Zimbra vulnerable. "El script se ejecuta silenciosamente en el navegador y comienza a recolectar credenciales, tokens de sesión, códigos de respaldo 2FA, contraseñas guardadas en el navegador y el contenido del buzón de la víctima de los últimos 90 días, con todos los datos exfiltrados a través de DNS y HTTPS", agregaron los investigadores. ### Zimbra: Un Objetivo Frecuente Las fallas de seguridad de Zimbra son frecuentemente objetivo de ataques, incluso por parte de grupos de amenazas patrocinados por el estado ruso, y se han utilizado para violar miles de servidores de correo electrónico vulnerables en los últimos años. Por ejemplo, a partir de febrero de 2023, el grupo de ciberespionaje ruso Winter Vivern utilizó otro exploit XSS reflejado para violar portales webmail de Zimbra y espiar las comunicaciones de organizaciones y personas alineadas con la OTAN, incluidos funcionarios gubernamentales, personal militar y diplomáticos. En octubre de 2024, las agencias cibernéticas de EE. UU. y el Reino Unido también advirtieron que los hackers de **APT29** (también conocidos como Cozy Bear, Midnight Blizzard) vinculados al Servicio de Inteligencia Exterior de Rusia (SVR) estaban atacando servidores Zimbra vulnerables "a gran escala", explotando una vulnerabilidad utilizada previamente para robar credenciales de cuentas de correo electrónico. Zimbra es una suite de software de correo electrónico y colaboración ampliamente popular utilizada por cientos de millones de personas, incluidas cientos de agencias gubernamentales y miles de empresas en todo el mundo.