O grupo APT28 ligado ao governo russo foi associado a uma operação de espionagem cibernética que explorou falhas em servidores de webmail como Roundcube, Horde, Zimbra e MDaemon. A campanha, chamada de Operação RoundPress por especialistas, tem como objetivo principal roubar dados confidenciais de contas de e-mail, especialmente de entidades governamentais e empresas de defesa do Leste Europeu, com alvos também na África, Europa Ocidental e América do Sul.

A operação utilizou vulnerabilidades de execução de código JavaScript em contexto de navegador, conhecidas como XSS. Algumas dessas falhas já eram conhecidas e corrigidas, como CVE 2023 43770 no Roundcube e CVE 2024 27443 no Zimbra. No entanto, a falha explorada no MDaemon, identificada como CVE 2024 11182, era desconhecida até então e considerada uma zero day, corrigida apenas em novembro de 2024. O ataque começa com o envio de e-mails que parecem inofensivos, mas que contêm código HTML malicioso. Quando o destinatário abre a mensagem no webmail vulnerável, um código JavaScript ofuscado é executado, permitindo o roubo de credenciais, e-mails e contatos.

No caso do Roundcube, o malware SpyPress também cria regras automáticas que encaminham todos os e-mails recebidos para um endereço controlado pelos atacantes, garantindo persistência mesmo após o fechamento da mensagem. Segundo pesquisadores de cibersegurança, os principais alvos em 2024 foram órgãos do governo da Ucrânia e empresas de defesa na Bulgária e Romênia, além de instituições na Grécia, Camarões, Equador, Sérvia e Chipre. O sucesso da campanha se deve à baixa frequência de atualização dos servidores de webmail e à possibilidade de ativar o ataque apenas com o envio de uma mensagem.