Den Anstoß zur Aufnahme von CVE-2025-66376 gab ein Bericht von Seqrite Labs. Der Anbieter dokumentiert darin eine Kampagne mit dem Decknamen Operation GhostMail, die einem mutmaßlich staatlich unterstützten russischen Akteur zugeschrieben wird und auf den Staatlichen Hydrografischen Dienst der Ukraine zielt.
Der Angriff kommt nach Darstellung von Seqrite Labs ohne klassische Schadsoftware aus. Eine als Praktikumsanfrage getarnte, sozial manipulierte E-Mail liefert ein verschleiertes JavaScript-Payload, das direkt in den E-Mail-Text eingebettet ist. Öffnet das Opfer die Nachricht in einer verwundbaren Zimbra-Webmail-Sitzung, wird CVE-2025-66376 ausgenutzt. Die Phishing-Mail enthält weder schädliche Anhänge noch verdächtige Links oder Makros – die gesamte Angriffskette steckt im HTML-Körper einer einzigen E-Mail.
Das JavaScript-Schadprogramm ist darauf ausgelegt, Zugangsdaten, Sitzungs-Tokens, Backup-Wiederherstellungscodes für die Zwei-Faktor-Authentifizierung (2FA), im Browser gespeicherte Passwörter sowie den Postfachinhalt der letzten 90 Tage abzugreifen. Die erbeuteten Daten werden sowohl über DNS als auch über HTTPS abgezogen. Die Nachricht wurde laut Bericht am 22. Januar 2026 von einer mutmaßlich kompromittierten Adresse der Nationalen Akademie für Innere Angelegenheiten versendet.
Seqrite Labs sieht die Kampagne in einer Linie mit früheren Angriffswellen russischer staatlicher Akteure wie der Operation RoundPress, die XSS-Schwachstellen in Webmail-Software ausnutzten, um ukrainische Organisationen zu kompromittieren. Operation GhostMail zeige die fortschreitende Entwicklung webmailbasierter Angriffe, bei denen die Täter vollständig auf im Browser laufende Datendiebe statt auf herkömmliche Schadprogramm-Dateien setzten. Durch das eingebettete, verschleierte JavaScript und die Ausnutzung der Zimbra-XSS-Schwäche erreichten sie eine vollständige Sitzungsübernahme, ohne Dateien abzulegen, Makros auszunutzen oder endpunktbasierte Erkennung auszulösen.
Zur zweiten Schwachstelle, CVE-2026-2096, gibt es bislang keine öffentlichen Berichte über eine Ausnutzung, ihre Urheber oder das Ausmaß. Wegen der aktiven Ausnutzung empfiehlt CISA den föderalen zivilen Behörden, CVE-2025-66376 bis zum 1. April 2026 und CVE-2026-20963 bis zum 23. März 2026 zu patchen.
Zeitgleich gab Amazon bekannt, dass Akteure aus dem Umfeld der Interlock-Ransomware eine Schwachstelle mit Höchstbewertung in Ciscos Firewall-Management-Software (CVE-2026-20131, CVSS-Wert 10.0) seit dem 26. Januar 2026 ausgenutzt haben – mehr als einen Monat vor der öffentlichen Bekanntgabe. Laut Amazon hat Interlock bislang gezielt Branchen angegriffen, in denen Betriebsstörungen den Druck zur Zahlung maximieren, darunter Bildung, Ingenieurwesen, Architektur, Bau, Fertigung, Industrie, Gesundheitswesen und Behörden.
Der Fall fügt sich in ein wiederkehrendes Muster: Angreifer nehmen Netzwerkgeräte am Rand der Infrastruktur verschiedener Hersteller wie Cisco, Fortinet und Ivanti ins Visier, um einen ersten Zugang zu erlangen. Dass CVE-2026-20131 als Zero-Day eingesetzt wurde, zeigt, dass die Täter Zeit und Mittel investieren, um bislang unbekannte Lücken für erweiterten Zugriff zu finden.
