Una vulnerabilidad de seguridad ahora corregida en Zimbra Collaboration fue explotada como día cero a principios de este año en ciberataques dirigidos contra el ejército brasileño.
Rastreado como CVE-2025-27915 (puntuación CVSS: 5.4), la vulnerabilidad es una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenadas en el cliente web clásico que se produce como resultado de una desinfección insuficiente del contenido HTML de los archivos de calendario ICS, lo que provoca la ejecución de código arbitrario.
«Cuando un usuario ve un mensaje de correo electrónico que contiene una entrada ICS maliciosa, su JavaScript incorporado se ejecuta mediante un evento de activación dentro de una <details>etiqueta», según un descripción de la falla en la base de datos nacional de vulnerabilidad (NVD) del NIST.
«Esto permite a un atacante ejecutar JavaScript arbitrario dentro de la sesión de la víctima, lo que podría conducir a acciones no autorizadas, como configurar filtros de correo electrónico para redirigir los mensajes a una dirección controlada por el atacante. Como resultado, un atacante puede realizar acciones no autorizadas en la cuenta de la víctima, como la redirección del correo electrónico y la exfiltración de datos».
Zimbra solucionó la vulnerabilidad como parte de las versiones 9.0.0 Parche 44 , 10,0,13 , y 10,15 lanzado el 27 de enero de 2025. Sin embargo, el aviso no menciona que haya sido explotado en ataques del mundo real.
Sin embargo, según un informe publicado realizada por StrikeReady Labs el 30 de septiembre de 2025, la actividad clandestina observada involucró a actores de amenazas desconocidos que se burlaban de la Oficina de Protocolo de la Armada de Libia para atacar al ejército brasileño utilizando archivos ICS maliciosos que aprovechaban la falla.
El archivo ICS contenía un código JavaScript diseñado para actuar como un completo ladrón de datos para transferir credenciales, correos electrónicos, contactos y carpetas compartidas a un servidor externo («ffrk [.] net»). También busca correos electrónicos en una carpeta específica y añade reglas de filtrado de correo electrónico maliciosas de Zimbra con el nombre «Correo» para reenviar los mensajes a spam_to_junk@proton.me.
Para evitar ser detectado, el script está diseñado de tal manera que oculta ciertos elementos de la interfaz de usuario y solo detona si han pasado más de tres días desde la última vez que se ejecutó.
Actualmente no está claro quién está detrás del ataque, pero a principios de este año, ESET revelada que el actor de amenazas ruso conocido como APT28 había explotado las vulnerabilidades de XSS en varias soluciones de correo web de Roundcube, Horde, MDaemon y Zimbra para obtener acceso no autorizado.
Otros grupos de hackers también han adoptado un modus operandi similar, como Viverna de invierno y UNC1151 (también conocido como Ghostwriter) para facilitar el robo de credenciales.