Una vulnerabilidad de seguridad ahora parcheada en la colaboración de Zimbra fue explotada como un día cero a principios de este año en ataques cibernéticos dirigidos al ejército brasileño.
Rastreado como CVE-2025-27915 (Puntuación CVSS: 5.4), la vulnerabilidad es una vulnerabilidad almacenada de secuencias de comandos de sitios cruzados (XSS) en el cliente web clásico que surge como resultado de la desinfección insuficiente del contenido HTML en los archivos de calendario ICS, lo que resulta en una ejecución de código arbitraria.
«Cuando un usuario ve un mensaje de correo electrónico que contiene una entrada de ICS malicioso, su JavaScript integrado se ejecuta a través de un evento OnToggle dentro de un
«Esto permite que un atacante ejecute JavaScript arbitrario dentro de la sesión de la víctima, lo que puede conducir a acciones no autorizadas, como establecer filtros de correo electrónico para redirigir mensajes a una dirección controlada por el atacante.
La vulnerabilidad fue abordada por Zimbra como parte de las versiones 9.0.0 parche 44, 10.0.13y 10.1.5 Lanzado el 27 de enero de 2025. Sin embargo, el aviso no menciona que haya sido explotado en ataques del mundo real.
Sin embargo, según un informe publicado Por Strikeready Labs el 30 de septiembre de 2025, la actividad observada en la baja involucraba a los actores de amenaza desconocidos que falsificaban la oficina de protocolo de la Marina Libia para atacar al ejército brasileño utilizando archivos ICS maliciosos que explotaban la falla.
El archivo ICS contenía un código JavaScript diseñado para actuar como un robador de datos integral para desviar las credenciales, correos electrónicos, contactos y carpetas compartidas en un servidor externo («FFRK[.]net «). También busca correos electrónicos en una carpeta específica y agrega reglas de filtro de correo electrónico de Zimbra malicioso con el nombre» Correo «para reenviar los mensajes a spam_to_junk@proton.me.
Como una forma de evitar la detección, el guión se crea de manera que oculta ciertos elementos de la interfaz de usuario y detona solo si han pasado más de tres días desde la última vez que se ejecutó.
Actualmente no está claro quién está detrás del ataque, pero a principios de este año, eset reveló que el actor de amenaza rusa conocido como APT28 había explotado las vulnerabilidades de XSS en varias soluciones de correo web de RoundCube, Horde, Mdemon y Zimbra para obtener un acceso no autorizado.
Un modus operandi similar también ha sido adoptado por otros grupos de piratería como Vivern de invierno y UNC1151 (también conocido como Writer) para facilitar el robo de credenciales.
Fuente