# Operation GhostMail > [!danger] APT28 explorou zero-click Zimbra para espionar governo ucraniano sem interação do usuario > A Operation GhostMail e uma campanha de espionagem do [[g0007-apt28|APT28]] (GRU russo) identificada pela Seqrite Labs em marco de 2026. Explorou o [[cve-2025-66376|CVE-2025-66376]] - XSS armazenado no Zimbra Collaboration - para comprometer agencias governamentais ucranianas sem qualquer clique da vitima: o payload JavaScript executava automaticamente ao visualizar o email, exfiltrando 90 dias de historico e criando backdoors persistentes resistentes a reset de senha. ## Visão Geral A **Operation GhostMail** redefiniu o conceito de ataque de email zero-click contra webmail corporativo. O [[g0007-apt28|APT28]] (Fancy Bear, Unidade 26165 do GRU) explorou a [[cve-2025-66376|CVE-2025-66376]] - uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado na interface Classic UI do Zimbra Collaboration (CVSS 7.2) - para comprometer agencias governamentais ucranianas envolvidas em **infraestrutura hidrica e de aguas**, sem que as vitimas precisassem clicar em qualquer link ou abrir qualquer anexo. O mecanismo e elegante na sua perversidade: um JavaScript ofuscado embutido diretamente no corpo HTML do email e executado automaticamente quando a vitima simplesmente **visualiza** a mensagem no Zimbra Classic UI. O script realiza quatro acoes silenciosas em sequencia: ativa o protocolo IMAP sem avisar o usuario, exporta 90 dias de historico de emails via API SOAP, rouba códigos de backup de autenticação de dois fatores (GetScratchCodesRequest), e cria uma senha de aplicativo específica chamada "ZimbraWeb" que sobrevive a qualquer reset de senha convencional. O resultado e **acesso persistente fantasma** que continua funcionando mesmo que a vitima troque sua senha. A CISA adicionou a [[cve-2025-66376|CVE-2025-66376]] ao catalogo KEV em 18 de marco de 2026 com prazo federal de remediacao até 1 de abril de 2026. O malware [[spypress-zimbra|SpyPress.ZIMBRA]] registrava zero deteccoes no VirusTotal mais de um mes após o ataque - confirmando a natureza furtiva da operação. Para o Brasil, a relevância e alta: o Zimbra e amplamente adotado no setor público federal e estadual, universidades e empresas de medio porte, tornando a técnica do GhostMail diretamente aplicavel ao contexto nacional. ## Attack Flow - Operation GhostMail ```mermaid graph TB A["📧 E-mail HTML Armado<br/>JavaScript em CSS @import"] --> B["🔥 XSS Automatico<br/>CVE-2025-66376 Zimbra - zero-click"] B --> C["📬 Coleta de E-mails<br/>SOAP API - 90 dias exfiltrados"] C --> D["🔑 Roubo de 2FA Backup<br/>GetScratchCodesRequest SOAP"] D --> E["🗝 Criação de App Passwords<br/>Backdoor resistente a reset"] E --> F["🍪 Session Token Hijack<br/>OAuth + CSRF tokens roubados"] F --> G["💀 Acesso Persistente<br/>Caixas gov ucranianas comprometidas"] classDef delivery fill:#1a1a3a,color:#aaaaff,stroke:#2980b9 classDef collect fill:#2a1a1a,color:#ffaaaa,stroke:#e74c3c classDef persist fill:#1a3a1a,color:#aaffaa,stroke:#27ae60 class A,B delivery class C,D,E collect class F,G persist ``` ## Visão Geral **Operation GhostMail** é uma campanha ativa do [[g0007-apt28]] (GRU Unidade 26165 / Fancy Bear) detectada a partir de **22 de janeiro de 2026**. A operação explora uma vulnerabilidade de **Cross-Site Scripting (XSS) armazenado no Zimbra Collaboration Suite** ([[cve-2025-66376|CVE-2025-66376]]) para comprometer caixas de e-mail governamentais ucranianas **sem necessidade de qualquer interação da vítima além de abrir o e-mail**. A campanha representa um refinamento significativo das operações do [[g0007-apt28]] contra a Ucrânia: ao invés de phishing tradicional com links ou anexos, o payload malicioso está embutido diretamente no HTML do e-mail como JavaScript ofuscado, executando silenciosamente ao ser renderizado pelo webmail Zimbra. Alvos confirmados incluem a **Agência Estatal de Hidrologia da Ucrânia** (subordinada ao Ministério de Infraestrutura) e outras entidades de infraestrutura crítica. ## Cadeia de Exploração O ataque segue uma sequência precisa e sofisticada: | Etapa | Ação | Dados Exfiltrados/Roubados | |-------|------|---------------------------| | **1. Entrega** | E-mail enviado sem anexos ou links; JavaScript malicioso embutido em regras CSS malformadas (`@import` tokens) no HTML | - | | **2. XSS Execução** | Ao abrir o e-mail no webmail Zimbra, o script executa automaticamente via [[cve-2025-66376\|CVE-2025-66376]] | - | | **3. Coleta de E-mails** | Scraping via `batchInfoResponse` ou `GetIdentitiesRequest` SOAP API; exporta 90 dias de dados da caixa postal | Conteúdo completo de e-mails dos últimos 90 dias | | **4. Roubo de Credenciais** | Intercepta formulário de login com autofill; extrai tokens CSRF do `localStorage` | Senhas salvas, tokens CSRF | | **5. Bypass de 2FA** | Requisição `GetScratchCodesRequest` via SOAP API | Códigos de backup de recuperação de 2FA | | **6. Session Hijacking** | Extração de tokens OAuth; criação de senhas específicas por app via `CreateAppSpecificPasswordRequest` | Tokens OAuth, acesso persistente | O JavaScript usa camadas de ofuscação (**Base64 + XOR**) e reporta erros ao C2 via endpoint `/v/p`, incluindo pings de timing para correlação. Zero detecções no VirusTotal ao momento da descoberta. ## Objetivos e Impacto A operação vai além da simples coleta de e-mails. O roubo de **códigos de backup de 2FA** via SOAP API é particularmente grave: mesmo que a vítima troque a senha após detectar o comprometimento, os códigos de recuperação permitem que o [[g0007-apt28]] mantenha acesso persistente à conta. A criação de **senhas específicas por aplicação** via `CreateAppSpecificPasswordRequest` cria backdoors adicionais resistentes a redefinição de senha. **Alvos confirmados:** - Agência Estatal de Hidrologia da Ucrânia (infraestrutura crítica - suporte marítimo e hidrográfico) - Entidades governamentais ucranianas adicionais (em investigação) ## Táticas e Técnicas MITRE ATT&CK | Tática | Técnica | Detalhe | |--------|---------|---------| | Initial Access | [[t1566-phishing\|T1566 - Phishing]] | E-mail HTML sem link/anexo; payload no corpo | | Execution | [[t1059-command-scripting-interpreter\|T1059 - Scripting]] | JavaScript ofuscado (Base64+XOR) via XSS | | Collection | [[t1114-email-collection\|T1114 - Email Collection]] | SOAP API `batchInfoResponse`; 90 dias de e-mails | | Credential Access | T1539 - Steal Web Session Cookie | Tokens OAuth, tokens CSRF | | Credential Access | T1555 - Credentials from Password Stores | Senhas salvas no browser | | Persistence | T1098 - Account Manipulation | Criação de app-specific passwords | | Defense Evasion | T1027 - Obfuscated Files | JavaScript Base64+XOR; zero detecções VT | | Impact | [[t1185-browser-session-hijacking\|T1185 - Browser Session Hijacking]] | Sequestro de sessão autenticada | ## Atribuição A atribuição ao [[g0007-apt28]] tem **confiança média** baseada em: 1. **Sobreposições de payload** com `SpyPress.ZIMBRA`, família de malware anteriormente associada ao APT28 2. **Histórico de exploração do Zimbra** - APT28 e grupos adjacentes (APT29, Winter Vivern) exploraram Zimbra em 2023-2024 3. **Foco na Ucrânia** - consistente com padrão operacional do GRU em contexto do conflito 4. **Detalhes técnicos** reportados pela Seqrite Labs com referências cruzadas ao BleepingComputer A CISA confirmou exploits ativos da [[cve-2025-66376|CVE-2025-66376]] sem divulgar detalhes adicionais de atribuição. ## Infraestrutura - **C2 público:** `zimbrasoft[.]com[.]ua` - TLP:WHITE (fonte: Satine Tech) - **Endpoint C2:** `/v/p` para reporte de erros e timing correlation - **Protocolo:** HTTPS; comunicação via SOAP API Zimbra nativa (dificulta detecção por parecer tráfego legítimo) ## Indicadores de Comprometimento > [!ioc]- IOCs - Operation GhostMail APT28 / Zimbra XSS (TLP:WHITE) > Fonte: Seqrite Labs / BleepingComputer, marco 2026. Fonte: Satine Tech para dominio C2. > > **Dominio C2 (Defanged)** > - `zimbrasoft[.]com[.]ua` - dominio principal C2, registrado 20/01/2026 > > **Endpoints C2** > - `/v/p` - endpoint para reporte de erros e timing correlation (HTTPS) > > **Ofuscacao do Payload** > - JavaScript ofuscado Base64 + XOR no corpo HTML do email > > **Behavioral IoCs (Padroes de Comportamento)** > - Senha específica de aplicativo "ZimbraWeb" criada em contas Zimbra > - IMAP habilitado sem acao do usuario (`zimbraPrefImapEnabled: TRUE`) > - Chamadas SOAP anomalas: `GetScratchCodesRequest`, `CreateAppSpecificPasswordRequest`, `GetIdentitiesRequest`, `GetOAuthConsumersRequest` > - Exportacao de mailbox via endpoint `/home/~/?fmt=tgz` sem acao do usuario > - Arquivo `zimbra_batch_analytics.json` gerado fora do processo normal > - Zero deteccoes no VirusTotal ao momento da descoberta ## Histórico APT28 na Ucrânia (Contexto) O Operation GhostMail se insere em uma série de campanhas do [[g0007-apt28]] contra alvos ucranianos: - **UKR.net Credential Phishing (Jun/2024 – Abr/2025)** - Spearphishing com PDFs/HTMLs levando a páginas falsas de login; roubou credenciais e 2FA via tunelamento ngrok/Serveo - **CVE-2026-21509 Campaign (Ján/2026)** - Spearphishing com exploit de Microsoft Office contra organizações marítimas/transporte na Ucrânia e UE ## Mitigação e Detecção **Ação imediata:** - Atualizar Zimbra Collaboration Suite para versão com patch (vulnerability corrigida em novembro de 2025) - Monitorar requisições SOAP incomuns: `GetScratchCodesRequest`, `CreateAppSpecificPasswordRequest`, `GetIdentitiesRequest` - Auditar app-specific passwords criadas em contas de alto privilégio - Revisar e revogar tokens OAuth de sessões anômalas **Detecção:** - Alertar em volume anormal de chamadas SOAP API por sessão de webmail - Monitorar exportações de mailbox (endpoint de export) iniciadas sem ação do usuário - Inspecionar HTML de e-mails recebidos por padrões `@import` em CSS com JavaScript embutido --- *Fonte: [Seqrite Labs - Operation GhostMail: Zimbra XSS, Russian APT, Ukraine](https://www.seqrite.com/blog/operation-ghostmail-zimbra-xss-russian-apt-ukraine/)* *Fonte: [BleepingComputer - Russian APT28 Military Hackers Exploit Zimbra Flaw](https://www.bleepingcomputer.com/news/security/russian-apt28-military-hackers-exploit-zimbra-flaw-in-ukrainian-govt-attacks/)* *Fonte: [Security Affairs - Russian APT Targets Ukraine via Zimbra XSS CVE-2025-66376](https://securityaffairs.com/189673/security/russian-apt-targets-ukraine-via-zimbra-xss-flaw-CVE-2025-66376.html)* ## Impacto A operação resultou em comprometimento de caixas postais governamentais ucranianas com extração de até 90 dias de e-mails, roubo de tokens de sessão, credenciais salvas e códigos de backup 2FA. O acesso persistente via app-specific passwords - difícil de detectar e resistente a redefinições de senha - representa comprometimento de longo prazo das comúnicações governamentais. A escala real do impacto é provável ainda ser investigada pelo governo ucraniano, dado que o payload zero-detect no VirusTotal indica que muitas infecções podem não ter sido detectadas. ## Relevância LATAM/Brasil Organizações governamentais e corporativas brasileiras que utilizam Zimbra Collaboration Suite devem aplicar imediatamente o patch para [[cve-2025-66376|CVE-2025-66376]] (disponível desde novembro de 2025). A técnica de exfiltração via SOAP API interna do Zimbra é especialmente insidiosa pois o tráfego parece legítimo para ferramentas de monitoramento convencionais. CERTs governamentais brasileiros, especialmente aqueles que suportam órgãos do executivo federal, devem incluir monitoramento de chamadas SOAP anômalas em suas capacidades de detecção. Embora o foco atual sejá Ucrânia, técnicas de exploração de webmail têm histórico de reuso contra alvos em outras regiões. *Fonte: [SecPod - Operation GhostMail Analysis](https://www.secpod.com/blog/operation-ghostmail-analysis-of-russian-apt-exploitation-of-zimbra-xss/)* *Fonte: [SecurityWeek - Russian APT Exploits Zimbra Vulnerability Against Ukraine](https://www.securityweek.com/russian-apt-exploits-zimbra-vulnerability-against-ukraine/)*