Hackers estão conduzindo uma campanha global de ciberespionagem chamada RoundPress, explorando falhas de dia zero e conhecidas em serviços de webmail para roubar e-mails de órgãos governamentais. Segundo a ESET, a operação é atribuída com confiança moderada ao grupo APT28, ligado ao governo russo.
Leia também
IA soberana é o próximo desafio em tecnologia
EUA anunciam sanções contra uso de chips Huawei
A campanha começou em 2023 e continuou em 2024, mirando sistemas como Roundcube, Horde, MDaemon e Zimbra. Os alvos incluem governos da Grécia, Ucrânia, Sérvia e Camarões, unidades militares da Ucrânia e Equador, empresas de defesa e infraestrutura crítica em países do leste europeu.
O ataque começa com e-mails de spear phishing com conteúdo de notícias reais. Basta abrir o e-mail para que um JavaScript malicioso, embutido no HTML, seja executado via falha XSS. O script captura senhas preenchidas automaticamente, lê conteúdos e configurações do webmail, e exfiltra dados por HTTP POST.
Entre as vulnerabilidades exploradas estão:
- Roundcube (CVE-2020-35730 e CVE-2023-43770) – falhas de XSS que permitem execução de scripts ao abrir e-mails com conteúdo malicioso.
- MDaemon (CVE-2024-11182) – falha de dia zero que abusa do atributo
titlemalformado eimg onerror. - Horde – tentativa de explorar um XSS antigo falhou, provavelmente por filtros atualizados.
- Zimbra (CVE-2024-27443) – vulnerabilidade no campo
X-Zimbra-Calendar-Intended-For, usada para injetar e executar scripts codificados em base64.
A ESET não registrou novas ações da RoundPress em 2025, mas alerta que os métodos seguem viáveis, dada a constante descoberta de novas falhas XSS.
