# Operation RoundPress > [!high] APT28 explora XSS em webmail corporativo para implantar SpyPress - spyware que exfiltra emails sem instalar malware no endpoint > A Operation RoundPress é uma campanha de espionagem do APT28 (Sednit/Forest Blizzard) ativa desde 2023, voltada a comprometer contas de webmail governamentais via vulnerabilidades XSS em Roundcube, Horde, MDaemon e Zimbra. O CVE-2024-11182 (zero-day no MDaemon) é o vetor mais recente. O implante SpyPress opera inteiramente no navegador, não deixa rastros no sistema de arquivos do endpoint, e exfiltra emails e credenciais silenciosamente. ## Visão Geral A Operation RoundPress representa uma abordagem sofisticada de espionagem que aproveita um vetor frequentemente negligenciado: vulnerabilidades XSS (Cross-Site Scripting) em clientes de webmail empresarial. Em vez de comprometer o endpoint do usuário, o [[g0007-apt28|APT28]] (também conhecido como [[sednit|Sednit]], [[g0007-apt28|Forest Blizzard]], Fancy Bear) injeta código JavaScript malicioso diretamente na interface do webmail via emails especialmente crafted. O mecanismo é elegante: o email malicioso contém código XSS que é executado pelo navegador quando o usuário abre a mensagem. O JavaScript injetado - identificado como **SpyPress** pela ESET - opera inteiramente na memória do navegador, sem escrever arquivos no disco. Isso contorna a maioria das soluções EDR que monitoram o sistema de arquivos e processos. O SpyPress possui variantes específicas para cada plataforma alvo: Roundcube, Horde, MDaemon e Zimbra - cada uma explorando particularidades da renderização de HTML de cada cliente. As capacidades do SpyPress incluem: exfiltração de emails atuais e históricos, logging de credenciais digitadas, criação de regras de encaminhamento de emails para endereços controlados pelo APT28, e extração de senhas de aplicativos de autenticação two-factor. O [[cve-2024-11182|CVE-2024-11182]] no MDaemon é um zero-day que permitiu comprometer organizações que haviam migrado de Roundcube justamente para evitar ataques anteriores. Os alvos documentados incluem entidades governamentais na Ucrânia (contexto óbvio de espionagem relacionada ao conflito), mas o ESET documentou também alvos em países da América do Sul - incluindo entidades governamentais e de defesa. Essa extensão regional distingue a RoundPress de campanhas APT28 com foco exclusivamente europeu ou no espaço pós-soviético. ## Attack Flow ```mermaid graph TB A["Email Spearphishing<br/>Mensagem com XSS payload<br/>enviada à conta-alvo"] --> B["XSS Executado<br/>JavaScript roda no navegador<br/>quando usuário abre o email"] B --> C["SpyPress Ativo<br/>Variante específica para<br/>Roundcube, Horde ou MDaemon"] C --> D["Coleta de Credenciais<br/>Keylogging no formulário<br/>de login do webmail"] D --> E["Exfiltração de Emails<br/>Histórico e novos emails<br/>enviados ao C2 via HTTPS"] E --> F["Regras Persistentes<br/>Encaminhamento de emails<br/>futuros para conta do APT28"] ``` > **Ator:** APT28 / Sednit / Forest Blizzard | **Malware:** SpyPress (4 variantes) | **Zero-day:** CVE-2024-11182 (MDaemon) ## Cronologia ```mermaid timeline title Operation RoundPress 2023-01 : Primeiras amostras SpyPress-Roundcube identificadas em ataques 2023-10 : Horde XSS CVE-2020-35730 adicionado ao arsenal 2024-02 : CVE-2022-27924 Zimbra explorado - expansão de alvos 2024-06 : CVE-2023-43770 Roundcube zero-day adicionado 2024-10 : ESET publica análise da Operation RoundPress 2024-11 : CVE-2024-11182 MDaemon zero-day confirmado em ataques ativos 2025-01 : Alvos na América do Sul confirmados - entidades governamentais 2025-03 : Campanha continua ativa - SpyPress-MDaemon variante mais recente ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | XSS em Roundcube, Horde, MDaemon e Zimbra via CVEs documentados | | JavaScript | [[t1059-007-javascript\|T1059.007]] | SpyPress operando inteiramente como JavaScript no navegador | | Remote Email Collection | [[t1114-002-remote-email-collection\|T1114.002]] | Exfiltração de emails históricos e em tempo real via API do webmail | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Captura de credenciais digitadas no formulário de login | | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Emails crafted contendo payload XSS oculto no corpo da mensagem | | Exfiltration Over C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | SpyPress envia dados coletados via HTTPS para infraestrutura APT28 | ## Vítimas e Impacto **Alvos documentados:** - Ministérios e agências governamentais na Ucrânia - principal foco de espionagem - Entidades de defesa e diplomáticas na Europa Central e Oriental - Organizações governamentais na América do Sul (confirmado pelo ESET) - Contratados de defesa com acesso a informações classificadas **Impacto operacional:** - Emails confidenciais exfiltrados sem rastro no sistema de arquivos - Regras de encaminhamento criadas silenciosamente - acesso persistente sem novo ataque - Credenciais de webmail comprometidas usadas para acessar outros serviços com SSO - Zero-day CVE-2024-11182 explorado antes do patch - janela de comprometimento máximo ## Relevância LATAM e Brasil A extensão da Operation RoundPress para a América do Sul é um desenvolvimento significativo. O ESET confirmou alvos governamentais sul-americanos, criando precedente relevante para o Brasil: - **Webmail governamental brasileiro**: múltiplas entidades federais, estaduais e municipais usam soluções Roundcube, Zimbra ou MDaemon auto-hospedadas - plataformas explicitamente alvo da campanha - **Contexto político**: o [[g0007-apt28|APT28]] (GRU russo) tem motivação de espionagem em governos que assumiram posições claras sobre o conflito na Ucrânia - o Brasil participou de votações na ONU relevantes ao tema - **Patches atrasados**: servidores de email governo frequentemente ficam sem patches críticos por meses devido a processos burocráticos de aprovação de mudanças - **Superfície de ataque**: diferentemente de campanhas que visam credenciais VPN, a RoundPress explora o webmail - vetor menos monitorado em SOCs que focam em endpoints e perímetro ## Mitigação **Ações imediatas para administradores de webmail:** - Aplicar [[cve-2024-11182|CVE-2024-11182]] imediatamente em instalações MDaemon - Auditar patches CVE-2023-43770 (Roundcube), CVE-2022-27924 (Zimbra) e CVE-2020-35730 (Horde) - Verificar regras de encaminhamento de email em todas as contas de alto valor **Controles estratégicos:** - Aplicar [[m1051-update-software|M1051]] - patch rigoroso em servidores de email expostos - Implementar [[m1021-restrict-web-based-content|M1021]] - Content Security Policy (CSP) no webmail para bloquear XSS - Monitorar via [[ds-0028-logon-session|DS-0028]] - logins anômalos em webmail corporativo de IPs não esperados ## Referências - [1](https://www.welivesecurity.com/en/eset-research/operation-roundpress/) ESET WeLiveSecurity - Operation RoundPress Analysis (2024) - [2](https://attack.mitre.org/groups/G0007/) MITRE ATT&CK - APT28 Group Profile (2024) - [3](https://nvd.nist.gov/vuln/detail/CVE-2024-11182) NVD - CVE-2024-11182 MDaemon Email Server XSS (2024) - [4](https://www.bleepingcomputer.com/news/security/apt28-hackers-exploit-mdaemon-zero-day-in-government-email-servers/) BleepingComputer - APT28 Exploits MDaemon Zero-Day (2024) - [5](https://blog.google/threat-analysis-group/apt28-observed-exploiting-CVE-2024-11182/) Google TAG - APT28 Observed Exploiting CVE-2024-11182 (2024)