Hackers pertenecientes al grupo APT28 explotan una vulnerabilidad crítica en el paquete Zimbra para atacar entidades gubernamentales ucranianas. Esta amenaza vinculada a la inteligencia militar rusa aprovecha un fallo de seguridad de alta severidad para infiltrarse en sistemas sensibles. La agencia de ciberseguridad CISA confirmó la explotación activa en el entorno real durante la semana pasada sin dar detalles adicionales.
La falla de seguridad, rastreada como CVE-2025-66376, permite la ejecución remota de código sin autenticación previa del atacante. Los parches oficiales se distribuyeron a principios de noviembre, pero los atacantes ya utilizaban la brecha antes de la publicación. Las agencias federales de EE.UU. tienen dos semanas para asegurar sus servidores según la directiva vinculante BOD 22-01.
Los investigadores de Seqrite Labs identificaron la campaña de phishing bajo el nombre Operation GhostMail con precisión técnica. Una de las víctimas confirmadas fue la Agencia Estatal de Hidrología de Ucrania bajo el Ministerio de Infraestructura nacional. El correo malicioso no contenía archivos adjuntos ni enlaces sospechosos visibles para el usuario promedio al revisar la bandeja.
El mensaje entregó una carga útil de JavaScript ofuscada que se ejecuta silenciosamente en el navegador del destinatario vulnerable. Los atacantes recolectan tokens de sesión, códigos 2FA y contraseñas guardadas directamente desde la sesión web activa del usuario. Los datos se exfiltran a través de DNS y HTTPS sin levantar sospechas inmediatas sobre la red local incluyendo correos de 90 días.
Las vulnerabilidades de Zimbra fueron objetivo frecuente de grupos patrocinados por estados rusos en años recientes con estrategia similar. El grupo Winter Vivern utilizó otra explotación XSS en febrero de 2023 para espiar a organizaciones de la OTAN y diplomáticos. Agencias de ciberseguridad de EE.UU. y Reino Unido advirtieron sobre ataques a gran escala en octubre de 2024 contra servidores vulnerables.
Esta suite de colaboración es popular entre cientos de millones de personas y agencias gubernamentales en todo el mundo empresarial. La sofisticación del malware ha aumentado drásticamente según el Red Report 2026 sobre nuevas amenazas emergentes en el sector. Los atacantes ahora utilizan matemáticas complejas para detectar entornos de prueba y ocultarse a plena vista dentro de los sistemas.
Los usuarios deben actualizar sus sistemas inmediatamente para evitar la ejecución de código remoto por parte de actores hostiles. La vigilancia constante de las redes de correo electrónico es crucial para detectar actividades inusuales antes del compromiso total. El escenario de amenazas sugiere que otros sectores podrían enfrentar vectores de ataque similares pronto en el futuro cercano.
