En una reciente operación conocida como RoundPress, un grupo de ciberespionaje identificado como Sednit ha puesto su mira en servidores de correo web de alto valor con vulnerabilidades de XSS (cross-site scripting). Dicha operación, evaluada con confianza media, tiene como objetivo final el robo de datos confidenciales de cuentas de correo electrónico específicas.
La técnica principal utilizada por Sednit en esta operación es el spear phishing a través de correos electrónicos diseñados para explotar vulnerabilidades XSS, inyectando código JavaScript malicioso en las páginas de webmail de las víctimas. En 2023, el foco de RoundPress estaba centrado únicamente en Roundcube, pero en 2024 se amplió para incluir otros softwares de webmail como Horde, MDaemon y Zimbra. En el caso de MDaemon, se utilizó una vulnerabilidad de XSS de día cero, la cual se reportó a los desarrolladores y fue parcheada en noviembre de 2024.
La mayoría de las víctimas de esta operación son entidades gubernamentales y empresas de defensa en Europa del Este, aunque se han detectado ataques contra gobiernos en África, Europa y América del Sur. Un análisis de la carga útil JavaScript revela cuatro tipos de inyecciones: SpyPress.HORDE, SpyPress.MDAEMON, SpyPress.ROUNDCUBE y SpyPress.ZIMBRA, diseñadas para robar credenciales de webmail, así como contactos y mensajes de correo de los buzones de las víctimas. En particular, SpyPress.MDAEMON puede incluso eludir la autenticación de dos factores.
Sednit, también conocido como APT28 o Fancy Bear, ha estado operando desde al menos 2004 y se le atribuyen incidentes de alto perfil, incluyendo el hackeo del Comité Nacional Demócrata en EE. UU. en 2016. En el contexto de RoundPress, se identificaron varios servidores involucrados y se observó un patrón en el uso de direcciones de correo electrónico similares a las empleadas en campañas anteriores de Sednit.
A medida que la operación RoundPress continúa, se han recopilado datos sobre las víctimas afectadas, especialmente en relación con la guerra en Ucrania. Las entidades gubernamentales y empresas de defensa en Bulgaria y Rumanía también han sido identificadas como objetivos, evidenciando el enfoque estratégico de Sednit en la obtención de información relevante en este contexto geopolítico.
Los detalles expuestos sobre las vulnerabilidades y las técnicas de inyección utilizadas en esta operación ponen de manifiesto la importancia de mantener actualizados los sistemas y la seguridad digital en el entorno del correo electrónico.
Fuente: WeLiveSecurity by eSet.
