Die Sicherheitsforscher von Seqrite beschreiben den Angriff als bewusst unauffällig. „Die Phishing-Mail hat keine schädlichen Anhänge, keine verdächtigen Links, keine Makros“, erklärten sie. „Die gesamte Angriffskette steckt im HTML-Textkörper einer einzigen E-Mail.“
Kern des Angriffs ist eine Cross-Site-Scripting-Schwachstelle in der Zimbra-Webmail, die unter der Kennung CVE-2025-66376 geführt wird. Über sie konnten die Angreifer Schadcode direkt in eine E-Mail einbetten, die über die browserbasierte Oberfläche von Zimbra dargestellt wird. Die Nachricht gab sich als gewöhnliche, auf Ukrainisch formulierte Praktikumsanfrage aus.
Wurde die E-Mail in einer aktiven Zimbra-Sitzung geöffnet, führte sich der Code lautlos im Browser des Opfers aus. Auf diese Weise ließen sich laut Bericht Anmeldedaten, Sitzungs-Token, Backup-Codes für die Zwei-Faktor-Authentifizierung sowie im Browser gespeicherte Passwörter abgreifen – dazu Postfachdaten aus einem Zeitraum von bis zu 90 Tagen.
Versendet wurde die schädliche E-Mail im Januar, offenbar von einem kompromittierten Studierenden-Konto. Indem die Angreifer den Schadcode unmittelbar in die Nachricht einbetteten und eine vertrauenswürdige Webmail-Umgebung ausnutzten, konnten sie authentifizierte Sitzungen abfangen, ohne Malware auszuliefern oder viele herkömmliche Schutzmechanismen auszulösen.
Die Operation wird mit mittlerer Zuversicht APT28 zugeschrieben, einer auch als Fancy Bear bekannten Gruppe, die mutmaßlich mit dem russischen Militärgeheimdienst in Verbindung steht. Betroffen war der Staatliche Hydrographische Dienst der Ukraine, der unter anderem Aufgaben bei der maritimen Navigation übernimmt.
APT28 hat den Forschern zufolge eine lange Vorgeschichte von Angriffen auf ukrainische und westliche Regierungsstellen, Rüstungsunternehmen und Logistiknetzwerke im Rahmen von Spionagekampagnen. In diesem Monat wurde die Gruppe zudem mit einer weiteren gegen die Ukraine gerichteten Operation in Verbindung gebracht, bei der bislang nicht dokumentierte Schadprogramme namens BadPaw und MeowMeow zum Einsatz kamen.
Zimbra-Webmail geriet bereits wiederholt ins Visier anderer mutmaßlich russischer Hackergruppen. Seqrite nennt in diesem Zusammenhang APT29 und Winter Vivern, die in Spionagekampagnen gegen osteuropäische Organisationen aktiv waren.
