Selon StrikeReady (blog), une campagne de spearphishing a exploité un 0‑day dans Zimbra Collaboration Suite, CVE-2025-27915, via un fichier calendrier .ICS contenant du JavaScript, envoyé depuis une adresse usurpant le Bureau du Protocole de la Marine libyenne et visant l’armée brésilienne. Les auteurs soulignent que l’exploitation directe, par email, de suites collaboratives open source (Zimbra, Roundcube) demeure rare.
🗓️ Point d’entrée et détection: l’équipe a repéré l’attaque en surveillant les fichiers ICS de plus de 10 Ko contenant du JavaScript, un signal suffisamment rare pour permettre une revue manuelle. Le message provenait de l’IP 193.29.58.37 et contenait une pièce jointe .ICS malveillante déclenchant du JS côté webmail Zimbra.
🕵️♂️ Fonctionnalités du stealer: le script est un voleur de données pour Zimbra Webmail, implémenté en mode asynchrone via plusieurs IIFE. Il exfiltre des informations (identifiants, emails, contacts, listes de distribution, dossiers partagés) vers un serveur C2, surveille l’activité utilisateur pour déclencher le vol en cas d’inactivité et peut déconnecter l’utilisateur. Il ajoute des règles de filtrage malveillantes et met en place un transfert d’emails vers une adresse Proton Mail.
🛡️ Évasion et persistance: le code retarde l’exécution de 60 secondes, n’exécute que si au moins 3 jours se sont écoulés depuis la dernière exécution, et masque des éléments d’interface (par ex. InvHeaderTable) pour réduire les indices visuels. Il envoie des requêtes SOAP au serveur Zimbra pour récupérer des données et effectue l’exfiltration via des requêtes HTTP POST en mode “no-cors”.
📌 IOCs et TTPs:
- Indicateurs (IOCs):
- C2: https://ffrk.net/apache2_config_default_51_2_1
- IP d’envoi: 193.29.58.37
- Adresse de transfert: spam_to_junk@proton.me
- Hash de la pièce jointe: ea752b1651ad16bc6bf058c34d6ae795d0b4068c2f48fdd7858f3d4f7c516f37
- Vulnérabilité: CVE-2025-27915 (Zimbra Collaboration Suite)
- TTPs observées:
- Spearphishing par usurpation d’identité (Marine libyenne)
- Fichier .ICS contenant du JavaScript exécuté côté webmail Zimbra
- Exfiltration via POST “no-cors” vers un C2 externe
- Évasion: délai d’exécution (60s), fenêtre d’exécution (3 jours), masquage d’UI
- Surveillance d’activité utilisateur et déconnexion forcée
- Règles de filtrage malveillantes et transfert vers Proton Mail
- Requêtes SOAP pour collecte d’informations
Cet article est une analyse de menace détaillant une exploitation 0‑day de Zimbra via un fichier ICS, avec description des capacités du stealer, des IOCs/TTPs et l’objectif principal d’informer sur la campagne et ses mécanismes.
🧠 TTPs et IOCs détectés
TTP
[‘Spearphishing par usurpation d’identité (Marine libyenne)’, ‘Fichier .ICS contenant du JavaScript exécuté côté webmail Zimbra’, “Exfiltration via POST ’no-cors’ vers un C2 externe”, ‘Évasion: délai d’exécution (60s), fenêtre d’exécution (3 jours), masquage d’UI’, ‘Surveillance d’activité utilisateur et déconnexion forcée’, ‘Règles de filtrage malveillantes et transfert vers Proton Mail’, ‘Requêtes SOAP pour collecte d’informations’]
IOC
{‘C2’: ‘https://ffrk.net/apache2_config_default_51_2_1', ‘IP d’envoi’: ‘193.29.58.37’, ‘Adresse de transfert’: ‘spam_to_junk@proton.me’, ‘Hash de la pièce jointe’: ’ea752b1651ad16bc6bf058c34d6ae795d0b4068c2f48fdd7858f3d4f7c516f37’}
🔗 Source originale : https://strikeready.com/blog/0day-ics-attack-in-the-wild/