# Operation RoundPress > [!warning] Campanha Ativa - Sul América Impactada > A ESET confirmou alvos em **América do Sul** incluindo entidades governamentais no Equador e Camaroes. Organizacoes que operam Roundcube, Zimbra, Horde ou MDaemon devem aplicar patches imediatamente. CVE-2024-11182 (MDaemon) foi explorado como zero-day por APT28. ## Visão Geral A **Operation RoundPress** e uma campanha de ciberespionagem atribuida com media confiança ao [[g0007-apt28|APT28]] (Sednit / Fancy Bear / Forest Blizzard), grupo alinhado ao GRU russo. Descoberta e documentada pela ESET em 2025, a campanha e ativa desde pelo menos 2023 e visa **exfiltrar emails confidenciais de contas específicas em servidores de webmail** por meio da exploração de vulnerabilidades XSS (Cross-Site Scripting). O vetor de ataque e inovador: [[g0007-apt28|APT28]] envia emails de spearphishing que, ao serem abertos no cliente webmail vulnerável, injetam código JavaScript malicioso no contexto da sessao do usuario. O código JavaScript - denominado **SpyPress** - executa automaticamente no navegador, roubando credenciais, cookies de sessao, contatos e conteudo de emails sem necessidade de instalar malware no endpoint. Em servidores MDaemon, o grupo ainda extraia segredos de 2FA e criava "App Passwords" para acesso persistente sem MFA. A operação expandiu de Roundcube (2023) para Horde, MDaemon e Zimbra (2024), demonstrando capacidade de desenvolvimento rapido de exploits para múltiplas plataformas. O uso de zero-day ([[cve-2024-11182|CVE-2024-11182]] no MDaemon) indica investimento significativo em pesquisa de vulnerabilidades. ## Attack Flow ```mermaid graph TB A["🎣 Email spearphishing<br/>Assunto relevante ao alvo<br/>APT28 envia para conta webmail"] --> B["🌐 Vitima abre email<br/>No browser via webmail<br/>Roundcube / Zimbra / MDaemon"] B --> C["💉 Injecao XSS<br/>JavaScript SpyPress executa<br/>No contexto da sessao webmail"] C --> D["🔑 Coleta de dados<br/>Credenciais, cookies de sessao<br/>Contatos, conteudo de emails"] C --> E["🔐 Bypass MFA<br/>Extrai segredos 2FA<br/>Cria App Passwords persistentes"] D --> F["📤 Exfiltração HTTPS<br/>POST para servidores C2<br/>APT28-controlled"] E --> F ``` ## Plataformas e CVEs Explorados | Plataforma | CVE | Tipo | Status | |-----------|-----|------|--------| | Roundcube | CVE-2020-35730 | XSS armazenado | Patch disponível (2020) | | Roundcube | [[cve-2023-43770\|CVE-2023-43770]] | XSS em hyperlinks | Patch disponível (set/2023) | | MDaemon | CVE-2024-11182 | Zero-day XSS | Patchado nov/2024 | | Zimbra | CVE-2024-27443 | XSS em calendario | Patchado | | Horde | Desconhecido | XSS legado | Tentativa parcialmente falhou | ## Payloads SpyPress Os quatro payloads JavaScript desenvolvidos pelo [[g0007-apt28|APT28]] para esta campanha: - **SpyPress.ROUNDCUBE** - roubo de credenciais e criação de regras de encaminhamento Sieve - **SpyPress.ZIMBRA** - injecao via convite de calendario (header X-Zimbra-Calendar-Intended-For) - **SpyPress.MDAEMON** - extração de segredos 2FA e App Passwords alem de credenciais - **SpyPress.HORDE** - exploração de XSS legado (efetividade limitada em versoes modernas) Todos os payloads sao fortemente ofuscados com strings de configuração cifradas e estrutura de código aleatorizada para evasão. ## Relevância LATAM/Brasil A ESET confirmou alvos na **América do Sul** - específicamente no **Equador** (unidades militares e entidades governamentais). Isso torna a Operation RoundPress diretamente relevante para organizacoes brasileiras e latino-americanas. Tres pontos criticos: 1. **Webmail desatualizado e endemic na regiao** - muitas organizacoes governamentais brasileiras operam Roundcube, Zimbra ou Horde sem politica de patching agressiva 2. **Alvos sao governos e defesa** - o perfil de alvos se sobrepoe com ministérios e forcas armadas brasileiras que usam webmail on-premises 3. **O ataque nao requer instalacao de malware** - o JavaScript executa no browser, tornando detecção por EDR/AV práticamente impossível sem monitoramento específico de XSS Organizacoes brasileiras devem auditar versoes de webmail e aplicar patches imediatamente, especialmente para Roundcube e Zimbra. ## Mitigação - Atualizar imediatamente Roundcube para versao pos-setembro 2023 (fix de CVE-2023-43770) - Atualizar MDaemon para versao 24.5.1+ (fix de CVE-2024-11182) - Atualizar Zimbra com patches de calendario - Implementar WAF com regras de XSS específicas para plataformas de webmail - Monitorar regras de encaminhamento de email criadas automaticamente (Sieve rules) - Considerar migracao para plataformas de email com melhor historico de segurança ## Atores Envolvidos - [[g0007-apt28|APT28]] (Russia / GRU - atribuicao de media confiança pela ESET) ## Técnicas Utilizadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] - [[t1114-002-remote-email-collection|T1114.002 - Remote Email Collection]] - [[t1587-004-exploits|T1587.004 - Exploits]] - [[t1583-001-domains|T1583.001 - Domains]] - [[t1583-004-server|T1583.004 - Server]] ## Software Utilizado - [[spypress-zimbra|SpyPress.ZIMBRA]] - [[headlace|HEADLACE]] ## Referências - [ESET - Operation RoundPress (maio 2025)](https://www.welivesecurity.com/en/eset-research/operation-roundpress/) - [BleepingComputer - Government webmail hacked via XSS bugs (maio 2025)](https://www.bleepingcomputer.com/news/security/government-webmail-hacked-via-xss-bugs-in-global-spy-campaign/)