A equipe da ESET revelou uma campanha cibernética avançada conduzida pelo grupo APT28, que está explorando vulnerabilidades conhecidas em servidores de webmail como Roundcube, Zimbra e MDaemon. O objetivo é comprometer contas de e-mail pertencentes a órgãos governamentais, empresas de defesa e outras instituições estratégicas. A campanha, chamada de RoundPress, tem como método inicial o envio de e-mails com código HTML malicioso. Ao serem abertos em webmails vulneráveis, esses e-mails ativam falhas de cross-site scripting (XSS) e executam scripts no contexto da conta da vítima.

Com isso, os atacantes conseguem roubar credenciais, acessar mensagens e configurar encaminhamentos automáticos para servidores sob seu controle. Em particular, foi identificada uma falha zero-day no MDaemon (CVE-2024-11182), descoberta durante a análise da ESET. A campanha já atingiu alvos em regiões como Europa, África e América do Sul, incluindo agências governamentais da Ucrânia e empresas de defesa na Bulgária e Romênia.

Os ataques têm sido eficazes principalmente pela falta de atualizações frequentes nos sistemas de webmail e pela simplicidade da técnica: basta abrir o e-mail para a exploração ocorrer. Diante disso, especialistas recomendam a aplicação imediata de atualizações de segurança, análise detalhada dos logs de acesso e configuração de alertas para encaminhamentos suspeitos. Servidores expostos diretamente à internet exigem atenção redobrada, devido à sua vulnerabilidade a esse tipo de ataque furtivo.