Das Besondere an der Kampagne ist nach Darstellung von Seqrite Labs der Aufbau der Phishing-Mails. Sie enthalten weder schädliche Anhänge noch verdächtige Links oder Makros. “Die gesamte Angriffskette steckt im HTML-Text einer einzigen E-Mail”, erklärten die Forscher. Es gebe keine bösartigen Anhänge.

Die Nachrichten der unter den Namen Fancy Bear und Strontium bekannten Gruppe transportieren stattdessen eine verschleierte JavaScript-Nutzlast. Diese nutzt CVE-2025-66376 aus, sobald der Empfänger die E-Mail in einer verwundbaren Zimbra-Webmail-Sitzung öffnet.

Nach Angaben der Forscher läuft das Skript unbemerkt im Browser und beginnt, Zugangsdaten, Sitzungstoken, Backup-Codes für die Zwei-Faktor-Authentifizierung, im Browser gespeicherte Passwörter sowie den Inhalt des Postfachs der vergangenen 90 Tage abzugreifen. Die gesammelten Daten werden sowohl über DNS als auch über HTTPS abgeführt.

Die Aufnahme in den CISA-Katalog erfolgte auf Grundlage der Binding Operational Directive (BOD) 22-01 aus dem November 2021, die den zivilen Bundesbehörden verbindliche Fristen zur Behebung bekannter ausgenutzter Schwachstellen setzt.

Schwachstellen in Zimbra werden regelmäßig angegriffen, auch von staatlich unterstützten russischen Gruppen, und dienten in den vergangenen Jahren dazu, Tausende verwundbarer E-Mail-Server zu kompromittieren. Bereits ab Februar 2023 setzte die russische Cyberspionage-Gruppe Winter Vivern einen anderen XSS-Exploit ein, um Zimbra-Webmail-Portale zu kompromittieren und die Kommunikation von NATO-nahen Organisationen und Personen auszuspähen, darunter Regierungsvertreter, Militärangehörige und Diplomaten.

Im Oktober 2024 warnten zudem US-amerikanische und britische Cyberbehörden, dass die dem russischen Auslandsnachrichtendienst SVR zugerechnete Gruppe APT29 (auch Cozy Bear oder Midnight Blizzard) verwundbare Zimbra-Server “in großem Umfang” angreife und dabei eine Lücke ausnutze, die zuvor zum Diebstahl von E-Mail-Zugangsdaten verwendet worden war.

Zimbra ist eine weit verbreitete Software-Suite für E-Mail und Zusammenarbeit, die nach Angaben aus dem Quelltext von Hunderten Millionen Menschen genutzt wird, darunter Hunderte Behörden und Tausende Unternehmen weltweit.