🗓️ Contexte

Selon un rapport publié par Seqrite Labs et relayé par Security Affairs le 19 mars 2026, un groupe APT lié à la Russie — attribué avec une confiance modérée à APT28 (alias Fancy Bear, Sednit, STRONTIUM, UAC-0001) — mène une campagne d’espionnage ciblant des entités gouvernementales ukrainiennes via une vulnérabilité dans Zimbra Collaboration.

🎯 Campagne : Operation GhostMail

La campagne, baptisée Operation GhostMail, exploite la vulnérabilité CVE-2025-66376 (CVSS 7.2), un stored XSS dans l’interface Classic UI de Zimbra, causé par une sanitisation insuffisante des directives CSS @import dans le contenu HTML des emails.

Les victimes identifiées incluent :

  • Une agence maritime nationale ciblée le 22 janvier 2026 via un email étudiant compromis
  • L’Agence nationale d’hydrologie de l’Ukraine (infrastructure critique)

⚙️ Mécanisme d’attaque

Le vecteur initial est un email de phishing simulant une demande de stage, contenant un payload JavaScript obfusqué directement dans le corps HTML. À l’ouverture dans une session Zimbra vulnérable, le script s’exécute et :

  • Vole les identifiants, tokens de session, codes 2FA, mots de passe sauvegardés
  • Exfiltre 90 jours de données de boîte mail
  • Utilise des requêtes SOAP, une exfiltration DNS et HTTPS dual-canal
  • Établit un accès persistant pour surveiller les comptes

L’infrastructure C2 a été mise en place le 20 janvier 2026 avec deux domaines imitant Zimbra.

🔗 Attribution

L’attribution à APT28 repose sur des chevauchements techniques avec SpyPress.ZIMBRA et l’alignement géopolitique du ciblage. La campagne a été signalée au CERT-UA. La CISA américaine a ajouté CVE-2025-66376 à son catalogue KEV le 19 mars 2026, avec une échéance de remédiation au 1er avril 2026.

🛠️ Correctifs disponibles

Synacor a corrigé la faille dans les versions Zimbra 10.1.13 et 10.0.18.

📰 Cet article est une publication de recherche / analyse de menace combinant un rapport d’incident détaillé et une attribution CTI, visant à informer les équipes de sécurité sur une campagne active ciblant l’Ukraine.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • APT28 (state-sponsored)

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1185 — Browser Session Hijacking (Collection)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1556 — Modify Authentication Process (Credential Access)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1071.004 — Application Layer Protocol: DNS (Command and Control)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1114.002 — Email Collection: Remote Email Collection (Collection)
  • T1078 — Valid Accounts (Defense Evasion)

IOC

  • Domaines : js-l1wt597cimk.i.zimbrasoft.com.ua
  • Domaines : js-26tik3egye4.i.zimbrasoft.com.ua
  • CVEs : CVE-2025-66376

Malware / Outils

  • SpyPress.ZIMBRA (stealer)

🔗 Source originale : https://securityaffairs.com/189673/security/russian-apt-targets-ukraine-via-zimbra-xss-flaw-cve-2025-66376.html