Una vulnerabilidad crítica en Zimbra Collaboration fue explotada a principios de este año para atacar al ejército brasileño. El fallo, registrado como CVE-2025-27915, permitía que un atacante ejecutara código malicioso cuando un usuario abría un archivo de calendario ICS infectado, lo que podría derivar en la redirección de correos y la exfiltración de datos sensibles.

La vulnerabilidad estaba presente en el Classic Web Client y surgía por una insuficiente revisión del contenido HTML en los archivos ICS. Esto permitía que un código JavaScript incrustado se activara de manera oculta, ejecutándose dentro de la sesión del usuario sin que este lo notara. La consecuencia: un atacante podía modificar filtros de correo o robar información crítica de la cuenta afectada.

Zimbra lanzó parches para solucionar el problema en las versiones el 27 de enero de 2025. Sin embargo, informes recientes de StrikeReady Labs confirmaron que la vulnerabilidad ya había sido explotada en ataques reales. Los atacantes usaron archivos ICS maliciosos, disfrazando su origen como la Oficina de Protocolo de la Marina Libia, para apuntar específicamente al ejército de Brasil.

El código malicioso estaba diseñado como un "ladrón" de datos completo, capaz de extraer correos, contactos, carpetas compartidas y credenciales hacia un servidor externo. Incluso agregaba reglas de filtrado de correo, reenviando mensajes a direcciones controladas por los atacantes. Para evitar ser detectado, el script ocultaba elementos de la interfaz y solo se activaba si habían pasado más de tres días desde su última ejecución.

Aunque aún se desconoce quién está detrás del ataque, se sabe que APT28 y otros grupos de hackers, como Winter Vivern y UNC1151 (Ghostwriter), han utilizado tácticas similares en el pasado para robar credenciales. Sin embargo, algunos de estos grupos están vinculados con estados "aliados" de Brasil, aunque en el tablero geopolítico nunca se pueden descartar hipótesis.

Este caso subraya la importancia de mantener el software actualizado y revisar continuamente la seguridad de las plataformas críticas, especialmente en instituciones como el ejército.

Fuente: TheHackerNews