Russische cyberspionage raakt overheden en defensiebedrijven: ESET onthult Operation RoundPress

ESET-onderzoekers hebben de spionagecampagne Operation RoundPress ontdekt, waar de aan Rusland gelieerde groep Sednit waarschijnlijk achter zit.
Bij Operation RoundPress wordt gebruikgemaakt van spearphishing via een XSS-kwetsbaarheid om schadelijke JavaScript-code in te voegen in de webmailpagina van het slachtoffer. De aanval is gericht op de webmailprogramma’s Roundcube, Horde, MDaemon en Zimbra.
De meeste slachtoffers zijn overheidsinstanties en defensiebedrijven in Oost-Europa. Maar zijn ook overheden in Afrika, Europa en Zuid-Amerika aangevallen.

De payloads zijn in staat om webmailreferenties te stelen en contacten en e-mailberichten uit de mailbox van het slachtoffer te exfiltreren.

Bovendien kan SpyPress.MDAEMON tweestapsverificatie omzeilen.

Sliedrecht, 15 mei 2025 – ESET-onderzoekers hebben een nieuwe, aan Rusland gelieerde cyberspionagecampagne onthuld: Operation RoundPress. Deze campagne is gericht op webmailservers en maakt gebruik van XSS-kwetsbaarheden. De Sednit-groep zit zeer waarschijnlijk achter deze aanvallen, de groep die ook bekend staat als Fancy Bear of APT28. Het stelen van vertrouwelijke data van gerichte e-mailaccounts is het uiteindelijke doel van de groep. De meeste doelwitten houden verband met de oorlog in Oekraïne: het gaat om Oekraïense overheidsinstanties en defensiebedrijven in Bulgarije en Roemenië. Opvallend is dat sommige van deze defensiebedrijven wapens uit het Sovjettijdperk maken die bestemd zijn voor gebruik in Oekraïne. Andere doelwitten zijn overheden in Afrika, de Europese Unie en Zuid-Amerika.

“Vorig jaar zagen we dat verschillende XSS-kwetsbaarheden werden misbruikt om extra webmailsoftware aan te vallen, zoals Horde, MDaemon en Zimbra,” zegt ESET-onderzoeker Matthieu Faou, die Operation RoundPress ontdekte en onderzocht. “Sednit is ook begonnen met het inzetten van een recent ontdekte kwetsbaarheid in Roundcube (CVE-2023-43770). De kwetsbaarheid in MDaemon (CVE-2024-11182) — inmiddels gepatcht — was een zero day, waarschijnlijk ontdekt door Sednit zelf. De kwetsbaarheden in Horde, Roundcube en Zimbra waren al bekend en voorzien van patches.”

De XSS-exploits worden via e-mail verspreid en leiden tot de uitvoering van schadelijke JavaScript-code binnen de webmailomgeving van het slachtoffer. Hierdoor kan alleen informatie die toegankelijk is via het doelaccount worden uitgelezen en geëxfiltreerd.

Om de exploit te laten slagen, moet het slachtoffer worden verleid het e-mailbericht te openen in een kwetsbaar webmailportaal. Dat betekent dat het bericht de spamfilters moet omzeilen een overtuigend onderwerp moet hebben. Daarbij worden vaak bekende nieuwskanalen nagebootst, zoals Kyiv Post of News.bg. Voorbeelden van gebruikte onderwerpen zijn: “SBU arresteert bankier die werkte voor vijandelijke militaire inlichtingendienst in Charkiv” en “Poetin hoopt op instemming van Trump met Russische voorwaarden in bilaterale relaties.”

De kwaadaardige JavaScript-payloads dragen namen als SpyPress.HORDE, SpyPress.MDAEMON, SpyPress.ROUNDCUBE en SpyPress.ZIMBRA. Deze kunnen inloggegevens stelen; het adresboek, contacten en inloggeschiedenis buitmaken; en e-mailberichten onderscheppen en exfiltreren. SpyPress.MDAEMON beschikt over een mechanisme om tweestapsverificatie te omzeilen: het steelt het authenticatiegeheim en maakt een app-wachtwoord aan, waarmee toegang wordt verkregen via een e-mailclient.

“In de afgelopen twee jaar zijn webmailservers zoals Roundcube en Zimbra een belangrijk doelwit geworden voor meerdere cyberspionagegroepen, waaronder Sednit, GreenCube en Winter Vivern,” verklaart Faou. “Omdat veel organisaties hun webmailservers niet up-to-date houden en de kwetsbaarheden op afstand te misbruiken zijn via een simpel e-mailbericht, vormen deze servers een aantrekkelijk doelwit voor e-maildiefstal.”

Sednit is actief sinds 2004. Volgens het Amerikaanse ministerie van Justitie behoort deze groep tot de verantwoordelijken voor de hack op het Democratic National Committee (DNC) vlak voor de Amerikaanse verkiezingen van 2016. Sednit wordt tevens in verband gebracht met de aanval op tv-netwerk TV5Monde, het e-maillek bij de World Anti-Doping Agency (WADA) en tal van andere incidenten.

Voor een diepgaandere technische analyse van de gebruikte tools in Operation RoundPress, lees het volledige blogartikel “Operation RoundPress” op WeLiveSecurity.com. Volg ESET Research ook via Twitter (nu X), en BlueSky voor het laatste onderzoek en nieuws.