Während die CISA keine Details zu den beobachteten Angriffen veröffentlicht hat, berichtet Seqrite Labs, dass staatlich unterstützte russische Akteure die Lücke gezielt gegen die Ukraine eingesetzt haben. Die Aufnahme von CVE-2025-66376 in den KEV-Katalog erfolgte an einem Mittwoch; die Patch-Frist für Bundesbehörden stützt sich auf die Binding Operational Directive 22-01.

Bei den dokumentierten Angriffen war JavaScript-Code im E-Mail-Text eingebettet, der beim Öffnen der Nachricht ausgelöst wurde, um Daten aus den Postfächern der Opfer abzugreifen. Laut Seqrite Labs läuft das Skript unbemerkt im Browser und sammelt Zugangsdaten, Sitzungs-Token, Backup-Codes für die Zwei-Faktor-Authentisierung, im Browser gespeicherte Passwörter sowie den Inhalt des Postfachs der vergangenen 90 Tage. Sämtliche Daten würden sowohl über DNS als auch über HTTPS abgeführt.

Eine Einrichtung der kritischen nationalen Infrastruktur, die für die maritime und hydrografische Unterstützung der Schifffahrt zuständig ist, erhielt die Phishing-Mail am 22. Januar. Die Nachricht stammte von einem mutmaßlich kompromittierten Konto, das einem Studenten der ukrainischen Nationalen Akademie für innere Angelegenheiten (NAVS) gehörte.

Seqrite Labs nennt die Kampagne Operation GhostMail und führt die Angriffe auf APT28 zurück. Diese hochentwickelte russische APT-Gruppe wird auch unter den Namen Forest Blizzard, Fancy Bear, GruesomeLarch und Sofacy geführt.

Sicherheitsforscher raten dazu, Zimbra-Installationen so rasch wie möglich zu aktualisieren, da Schwachstellen in der Kollaborationssoftware häufig von Angreifern ins Visier genommen werden. Bereits im Januar war eine Local-File-Inclusion-Lücke in der Webmail-Oberfläche der Appliance als Ziel hochgradig gezielter, nachrichtendienstlich motivierter Kampagnen gemeldet worden.