• ESET Research ontdekte de spionage-campagne Operation RoundPress, waar de aan Rusland gelinkte Sednit-groep hoogstwaarschijnlijk achter zit.
• In Operation RoundPress is de aanvalsmethode een spear-phishing-mail die een XSS-kwetsbaarheid gebruikt om schadelijke JavaScript-code in de webmail-pagina van het slachtoffer te injecteren. Deze is gericht op de webmail-softwares Roundcube, Horde, MDaemon en Zimbra.
• De meeste slachtoffers zijn overheidsinstanties en defensiebedrijven in Oost-Europa
· ESET Research ontdekte de spionage-campagne Operation RoundPress, waar de aan Rusland gelinkte Sednit-groep hoogstwaarschijnlijk achter zit.
· In Operation RoundPress is de aanvalsmethode een spear-phishing-mail die een XSS-kwetsbaarheid gebruikt om schadelijke JavaScript-code in de webmail-pagina van het slachtoffer te injecteren. Deze is gericht op de webmail-softwares Roundcube, Horde, MDaemon en Zimbra.
· De meeste slachtoffers zijn overheidsinstanties en defensiebedrijven in Oost-Europa, hoewel ESET zag dat overheden in Afrika, Europa en Zuid-Amerika eveneens het doelwit waren.
· De payloads kunnen webmail-gegevens stelen en contacten en e-mailberichten uit de mailbox van het slachtoffer exfiltreren.
· Bovendien kan SpyPress.MDAEMON tweefactor-authenticatie omzeilen.
MONTREAL, BRATISLAVA, 15 mei 2025 — ESET Research heeft een spionage-operatie ontdekt gelinkt aan Rusland. Deze operatie, door ESET RoundPress genoemd, is gericht op webmail-servers via XSS-kwetsbaarheden. Hierachter zit hoogstwaarschijnlijk de aan Rusland gelinkte cyberespionage-groep Sednit (ook Fancy Bear of APT28 genoemd), die als doel heeft vertrouwelijke gegevens van specifieke e-mailaccounts te stelen. De meeste doelwitten hebben betrekking op de oorlog in Oekraïne. Het zijn ofwel Oekraïense overheden ofwel defensie-bedrijven in Bulgarije en Roemenië. Sommige van deze bedrijven produceren wapens uit het Sovjettijdperk voor Oekraïne. Andere doelwitten zijn Afrikaanse, Europese en Zuid-Amerikaanse overheden.
“Vorig jaar zagen we verschillende XSS-kwetsbaarheden die gebruikt werden om andere webmail-software aan te vallen: Horde, MDaemon en Zimbra. Sednit begon ook een recentere kwetsbaarheid in Roundcube te gebruiken, CVE-2023-43770. De MDaemon-kwetsbaarheid — CVE-2024-11182, nu gepatcht — was een zeroday-kwetsbaarheid, hoogstwaarschijnlijk ontdekt door Sednit, terwijl de kwetsbaarheden voor Horde, Roundcube en Zimbra al bekend en gepatcht waren “, aldus Matthieu Faou, de ESET-onderzoeker die Operation RoundPress ontdekte en onderzocht.
Sednit verstuurt deze XSS-exploits per mail. Deze exploits leiden tot de uitvoering van schadelijke JavaScript-code in de webpagina van de mailcliënt die in een browservenster wordt uitgevoerd. Zo kunnen enkel gegevens die toegankelijk zijn via het account van het doelwit worden gelezen en geëxfiltreerd.
Om de exploit te doen werken, moet het doelwit ervan overtuigd worden het e-mailbericht te openen in het kwetsbare webmail-portaal. Dit betekent dat de e-mail spamfilters moet omzeilen en dat het onderwerp overtuigend genoeg moet zijn om het doelwit aan te zetten het bericht te lezen. Bekende nieuwsmedia zoals de Oekraïense nieuwssite Kyiv Post of het Bulgaarse nieuwsportaal News.bg worden vaak misbruikt. Onder de koppen die als spear-phishing werden gebruikt, vond men: “SBU arresteerde een bankier werkzaam voor de vijandelijke militaire inlichtingendienst in Charkov” en “Poetin vraagt Trump om Russische voorwaarden in bilaterale betrekkingen te accepteren”.
De aanvallers laten de JavaScript-payloads SpyPress.HORDE, SpyPress.MDAEMON, SpyPress.ROUNDCUBE en SpyPress.ZIMBRA los op de doelwitten. Deze payloads kunnen inloggegevens stelen, het adresboek, de contacten en de inloggeschiedenis, en de e-mailberichten plunderen. SpyPress.MDAEMON kan de tweefactor-authenticatie omzeilen. Het steelt de geheime code van de tweefactor-authenticatie en creëert een app-wachtwoord, waarmee de aanvallers toegang krijgen tot de mailbox vanaf een e-mailapp.
“De laatste twee jaar zijn webmail-servers zoals Roundcube en Zimbra een belangrijk doelwit geweest voor verschillende spionage-groepen, waaronder Sednit, GreenCube en Winter Vivern. Omdat veel organisaties hun webmail-servers niet updaten en omdat kwetsbaarheden op afstand kunnen geactiveerd worden door het versturen van een e-mailbericht, is het voor aanvallers zeer makkelijk om dergelijke servers te targeten voor e-maildiefstal”, legt Faou uit.
De Sednit-groep, ook bekend als APT28, Fancy Bear, Forest Blizzard of Sofacy, is al sinds minstens 2004 actief. Het Amerikaanse ministerie van Justitie noemde de groep een van de verantwoordelijken voor de hack van het Democratisch Nationaal Comité (DNC), vlak voor de Amerikaanse verkiezingen in 2016 en linkte de groep aan de GRU. De groep wordt ook verdacht van het hacken van het wereldwijde televisienetwerk TV5Monde, het e-maillek van het WADA (Wereld Antidopingagentschap) en vele andere incidenten.
Voor een meer gedetailleerde en technische analyse van de tools die Sednit gebruikt in Operation RoundPress, kunt u de nieuwste blog van ESET Research “Operation RoundPress” op www.welivesecurity.com lezen. Volg ESET Research ook op Twitter Twitter (today known as X), BlueSky en Mastodon.
Meer lezen
