Des hackers appartenant au groupe APT28, lié aux services de renseignement militaire russes (GRU), exploitent une vulnérabilité de la Zimbra Collaboration Suite (ZCS) dans des attaques visant des entités gouvernementales ukrainiennes.
Ce problème de sécurité critique, identifié sous le numéro CVE-2025-66376 et corrigé début novembre, provient d’un XSS (cross-site scripting) stocké. Ce type de faille permet à des attaquants non authentifiés d’exécuter du code à distance (RCE), compromettant ainsi le serveur Zimbra et le compte email ciblé.
Le mercredi précédent, l’Agency for Cybersecurity and Infrastructure Security (CISA) des États-Unis a inclus cette vulnérabilité dans son catalogue des failles exploitées dans la nature. Cette agence a également ordonné aux agences fédérales civiles d’assurer la sécurisation de leurs serveurs dans un délai de deux semaines, conformément à la Binding Operational Directive (BOD) 22-01 émise en novembre 2021.
Bien que CISA n’ait pas fourni d’informations supplémentaires sur l’exploitation actuelle de CVE-2025-66376, des chercheurs en sécurité de Seqrite Labs ont rapporté qu’hier, les hackers d’APT28 avaient utilisé cette vulnérabilité dans des attaques contre l’Ukraine.
Parmi les cibles de cette campagne de phishing, dénommée Operation GhostMail, figure l’Agence d’hydrologie de l’État ukrainien, un organisme d’infrastructure critique relevant du ministère de l’Infrastructure, qui fournit un support navigational, maritime et hydrographique.
Les chercheurs de Seqrite Labs ont précisé que l’email de phishing ne contenait ni pièces jointes malveillantes, ni liens suspects, ni macros. L’ensemble de la chaîne d’attaque réside dans le corps HTML d’un seul email, sans aucune pièce jointe malveillante.
Les messages malveillants des hackers d’APT28 contenaient un code JavaScript obfusqué qui exploite la vulnérabilité CVE-2025-66376 lorsque le destinataire ouvre l’email dans une session web Zimbra vulnérable.
Une fois le script exécuté dans le navigateur, il commence à collecter des identifiants, des jetons de session, des codes 2FA de secours, ainsi que des mots de passe enregistrés dans le navigateur, en accédant aux contenus de la boîte aux lettres de la victime remontant jusqu’à 90 jours, toutes ces données étant exfiltrées via DNS et HTTPS.
Les failles de sécurité de Zimbra sont régulièrement ciblées dans des attaques, en particulier par des groupes de menace soutenus par l’État russe, ayant permis de compromettre des milliers de serveurs email vulnérables ces dernières années.
Par exemple, depuis février 2023, le groupe d’espionnage cybernétique Winter Vivern a utilisé une autre faille XSS réfléchie pour pénétrer les portails de webmail Zimbra et espionner les communications d’organisations et de personnes alignées à l’OTAN, incluant des responsables gouvernementaux, des militaires et des diplomates.
En octobre 2024, des agences de cybersécurité américaines et britanniques ont également averti qu’un groupe de hackers nommé APT29 (alias Cozy Bear ou Midnight Blizzard), lié aux services de renseignement étrangers russes (SVR), attaquait des serveurs Zimbra vulnérables à grande échelle, exploitant une faille utilisée auparavant pour dérober des identifiants de comptes email.
Zimbra est un logiciel de collaboration et de messagerie largement utilisé, comptant des millions d’utilisateurs, y compris plusieurs agences gouvernementales et entreprises à travers le monde.