# Operation GhostMail Zimbra 2026 > [!critical] APT28 Usa Zero-Click XSS no Zimbra para Espionagem de Email Ucraniana > A **Operation GhostMail** e uma campanha ativa do **APT28** (Fancy Bear/Forest Blizzard), descoberta em marco de 2026, explorando a **CVE-2025-66376** - uma vulnerabilidade de Cross-Site Scripting armazenado no Zimbra Collaboration Suite. O ataque e **zero-click**: basta a vitima ter o e-mail malicioso em sua caixa de entrada para ter sua conta comprometida. O malware **SpyPress.ZIMBRA** varre 90 dias de emails e exfiltra via DNS e HTTPS, com a infraestrutura C2 registrada em 20 de janeiro de 2026. ## Visão Geral A Operation GhostMail foi identificada por pesquisadores da Volexity em marco de 2026 como uma campanha de espionagem de alto nivel conduzida pelo [[g0007-apt28]] - o grupo de inteligência militar russo (GRU) responsavel por operações ciberneticas de alto impacto desde pelo menos 2004. O grupo e o mesmo responsavel pelo hack do Partido Democratico americano em 2016 e pelo ataque NotPetya de 2017. A vulnerabilidade central da campanha, [[cve-2025-66376|CVE-2025-66376]], e um XSS armazenado no Zimbra Collaboration Suite - uma plataforma de email open-source amplamente utilizada por governos, universidades e organizacoes públicas em paises de baixa e media renda que nao podem arcar com licencas Microsoft/Google. O Zimbra e especialmente popular em paises da Europa Oriental, incluindo Ucrania, e em agencias governamentais que preferem soluções on-premises. O carater "zero-click" do ataque e o elemento mais alarmante: ao contrario do spear-phishing convencional que requer que a vitima clique em um link ou abra um anexo, o exploit XSS e executado automaticamente quando o servidor Zimbra processa o e-mail malicioso ao ser exibido na interface web. A vitima nao precisa fazer nada alem de ter o e-mail na caixa de entrada. O malware [[spypress-zimbra]] instalado na sessao web da vitima executa um "sweep" de 90 dias de emails, exfiltrando todas as mensagens, anexos e metadados de contatos para infraestrutura C2. A exfiltração usa dois canais paralelos: DNS (para metadados e comandos) e HTTPS (para conteudo de emails) - uma abordagem redundante que garante exfiltração mesmo se um dos canais for bloqueado. A infraestrutura C2 foi registrada em 20 de janeiro de 2026, sugerindo que a campanha foi planejada e executada para coincidir com períodos criticos de comúnicacoes diplomaticas e militares ucranianas no contexto do conflito com a Russia. A CISA adicionou CVE-2025-66376 ao catalogo de Known Exploited Vulnerabilities em 19 de marco de 2026. ## Attack Flow ```mermaid graph TB A["📧 E-mail Malicioso Recebido<br/>Payload XSS embutido<br/>CVE-2025-66376"] --> B["🌐 Zimbra Processa E-mail<br/>XSS executado automaticamente<br/>Sem interação da vitima"] B --> C["💉 SpyPress.ZIMBRA Instalado<br/>Script em sessao web do Zimbra<br/>Acesso completo a conta"] C --> D["📬 Sweep de 90 Dias<br/>Emails, anexos e contatos<br/>dos ultimos 90 dias"] D --> E["📤 Exfiltração Dupla<br/>DNS para metadados<br/>HTTPS para conteudo"] E --> F["🔄 Persistência na Conta<br/>Credenciais/tokens roubados<br/>Acesso continuado ao email"] F --> G["🔍 Inteligencia Coletada<br/>Comúnicacoes diplomaticas<br/>e militares ucranianas"] ``` ### Técnica de Exfiltração Dual-Channel ```mermaid graph TB A["SpyPress.ZIMBRA<br/>Script em sessao web"] --> B["Canal 1 - DNS<br/>Metadados e comandos C2<br/>Via subdomínios DNS"] A --> C["Canal 2 - HTTPS<br/>Conteudo de emails e anexos<br/>Para servidor C2"] B --> D["Evasão de DPI<br/>DNS parece legitimo<br/>Tunelamento discreto"] C --> E["Alta Capacidade<br/>HTTPS carrega dados<br/>de email em volume"] B --> F["C2 Registrado 20 Jan 2026<br/>Infrastructure pre-planificada<br/>para operação específica"] C --> F ``` ## Cronologia | Data | Evento | |------|--------| | 2026-01-20 | Domínio C2 para operação GhostMail registrado (descoberto retrospectivamente) | | 2026-02 | Primeiras infeccoes via CVE-2025-66376 em servidores Zimbra ucranianos | | 2026-03-05 | Volexity identifica SpyPress.ZIMBRA e documenta a vulnerabilidade | | 2026-03-10 | Zimbra lanca patch emergêncial para CVE-2025-66376 | | 2026-03-19 | CISA adiciona CVE-2025-66376 ao catalogo KEV com prazo de 3 semanas para patch | | 2026-03-19 | Volexity pública relatorio detalhado com IOCs e atribuicao ao APT28 | ## TTPs (MITRE ATT&CK) | ID | Técnica | Uso na Campanha | |----|---------|-----------------| | [[t1566-phishing\|T1566]] | Phishing | E-mail malicioso com payload XSS - zero-click via CVE-2025-66376 | | [[t1059-command-scripting-interpreter\|T1059]] | Command Scripting | JavaScript malicioso executado na sessao web do Zimbra | | [[t1071-application-layer-protocol\|T1071]] | Application Layer | Exfiltração HTTPS para C2 registrado em 20 de janeiro de 2026 | | [[t1048-exfiltration-over-alt-protocol\|T1048]] | Exfiltration via Alt Protocol | Canal DNS para exfiltração de metadados e comandos | | [[t1560-archive-collected-data\|T1560]] | Archive Collected Data | 90 dias de emails comprimidos e exfiltrados | | [[t1539-steal-web-session-cookie\|T1539]] | Steal Web Session Cookie | Tokens de sessao Zimbra roubados para acesso persistente | ## Vitimas e Alvos O [[g0007-apt28]] focou a operação em entidades ucranianas de alto valor: - **Agencia Estatal de Hidrologia da Ucrania**: Comprometimento confirmado documentado pela Volexity - **Ministerios ucranianos**: Entidades com comúnicacoes diplomaticas de alta sensibilidade - **Comandos militares**: Redes de comunicação militar ucraniana via email Zimbra - **Organizacoes europeias de apoio a Ucrania**: Entidades parceiras com servidores Zimbra on-premises A escolha do Zimbra como vetor demonstra conhecimento profundo da infraestrutura de TI ucraniana e a tendencia de governos europeus orientais de usar soluções on-premises de email. ## Relevância LATAM O impacto direto para o Brasil e LATAM e limitado dado o foco geografico no conflito russo-ucraniano. No entanto: > [!latam] Contexto Brasil e LATAM > O **Zimbra** e utilizado por diversas **universidades federais brasileiras**, prefeituras e orgaos governamentais estaduais como plataforma de email. A CVE-2025-66376 afeta todas as instalacoes Zimbra nao patchadas - incluindo aquelas no Brasil. Grupos de espionagem com interesse no Ministerio das Relacoes Exteriores brasileiro (Itamaraty) ou comúnicacoes diplomaticas poderiam adaptar o mesmo vetor. A CISA inclui a vulnerabilidade no KEV - organizacoes brasileiras devem tratar o patching como emergêncial. ## Mitigação e Detecção - **Aplicar patch CVE-2025-66376 imediatamente** - qualquer Zimbra nao patchado e vulnerável a zero-click - **Auditar logs de acesso Zimbra** para detectar sessoes web com padroes de sweep de email massivo - **Monitoramento de DNS anormal**: Consultas DNS em alto volume de servidores Zimbra sao indicador de exfiltração - **Web Application Firewall (WAF)** na frente do Zimbra para bloquear payloads XSS - **Autenticação multifator** para todas as contas Zimbra de alto valor - Aplicar [[m1050-exploit-protection]], [[m1032-multi-factor-authentication]] e [[m1031-network-intrusion-prevention]] ## Referências - [Volexity - SpyPress.ZIMBRA APT28 Report (Mar 2026)](https://www.volexity.com/blog/2026/03/19/apt28-zimbra-ghostmail/) - [CISA - KEV CVE-2025-66376 (Mar 2026)](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Zimbra Security Advisory - CVE-2025-66376](https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories) - [MITRE ATT&CK - APT28 (G0007)](https://attack.mitre.org/groups/G0007/)