Una vulnerabilidad de seguridad ahora parcheada en la colaboración de Zimbra fue explotada como un día cero a principios de este año en ataques cibernéticos dirigidos al ejército brasileño.
Rastreado como CVE-2025-27915 (Puntuación CVSS: 5.4), la vulnerabilidad es una vulnerabilidad almacenada de secuencias de comandos de sitios cruzados (XSS) en el cliente web clásico que surge como resultado de la desinfección insuficiente del contenido HTML en los archivos de calendario ICS, lo que resulta en una ejecución de código arbitraria.
“Cuando un becario ve un mensaje de correo electrónico que contiene una entrada de ICS ladino, su JavaScript integrado se ejecuta a través de un evento OnToggle en el interior de un
“Esto permite que un atacante ejecute JavaScript infundado en el interior de la sesión de la víctima, lo que puede conducir a acciones no autorizadas, como establecer filtros de correo electrónico para redirigir mensajes a una dirección controlada por el atacante.
La vulnerabilidad fue abordada por Zimbra como parte de las versiones 9.0.0 Patch 44, 10.0.13 y 10.1.5 lanzadas el 27 de enero de 2025. Sin incautación, el aviso no menciona que haya sido explotado en ataques del mundo verdadero.
Sin incautación, según un referencia publicado por Strikready Labs el 30 de septiembre de 2025, la actividad observada en el festín involucraba a los actores de amenaza desconocidos que falsificaban la oficina de protocolo de la Óleo Libia para atacar al ejército brasileño utilizando archivos ICS maliciosos que explotaban el defecto.
El archivo ICS contenía un código JavaScript diseñado para representar como un robador de datos integral para desviar las credenciales, correos electrónicos, contactos y carpetas compartidas en un servidor forastero (“Ffrk (.) Net”). Asimismo exploración correos electrónicos en una carpeta específica, y agrega reglas de filtro de correo electrónico de Zimbra ladino con el nombre “Correo” para reenviar los mensajes a spam_to_junk@proton.me.
Como una forma de evitar la detección, el divisa se crea de modo que oculta ciertos rudimentos de la interfaz de becario y detona solo si han pasado más de tres días desde la última vez que se ejecutó.
Actualmente no está claro quién está detrás del ataque, pero a principios de este año, ESET reveló que el actor de amenaza ruso conocido como APT28 había explotado las vulnerabilidades de XSS en varias soluciones de correo web de RoundCube, Horde, Mdaemon y Zimbra para obtener paso no facultado.
Un modus operandi similar además ha sido recogido por otros grupos de piratería como Winter Vivern y UNC1151 (además conocido como WhostWriter) para suministrar el robo de credenciales.
