Los actores de amenazas que operan con intereses alineados con Bielorrusia y Rusia han sido vinculados a una nueva campaña de ciberespionaje que probablemente aprovechó las vulnerabilidades de secuencias de comandos entre sitios (XSS) en los servidores de correo web de Roundcube para apuntar a más de 80 organizaciones.
Estas entidades están ubicadas principalmente en Georgia, Polonia y Ucrania, según Recorded Future, que atribuyó la intrusión a un actor de amenazas conocido como Winter Vivern, que también se conoce como TA473 y UAC0114. La empresa de ciberseguridad es seguimiento el equipo de piratería bajo el nombre de Threat Activity Group 70 (TAG-70).
ESET destacó previamente la explotación de fallas de seguridad en Roundcube y el software por parte de Winter Vivern en octubre de 2023, uniéndose a otros grupos de actores de amenazas vinculados a Rusia, como APT28, APT29 y Sandworm, que se sabe que atacan el software de correo electrónico.
El adversario, que ha estado activo desde al menos diciembre de 2020, también ha sido vinculado al abuso de una vulnerabilidad ahora parcheada en el software de correo electrónico Zimbra Collaboration el año pasado para infiltrarse en organizaciones en Moldavia y Túnez en julio de 2023.
La campaña descubierta por Recorded Future se llevó a cabo desde principios de octubre de 2023 y continuó hasta mediados de mes con el objetivo de recopilar inteligencia sobre las actividades políticas y militares europeas. Los ataques se superponen con actividad adicional de TAG-70 contra servidores de correo del gobierno de Uzbekistán que se detectaron en marzo de 2023.
«TAG70 ha demostrado un alto nivel de sofisticación en sus métodos de ataque», afirmó la empresa. «Los actores de amenazas aprovecharon técnicas de ingeniería social y explotaron vulnerabilidades de secuencias de comandos entre sitios en los servidores de correo web de Roundcube para obtener acceso no autorizado a servidores de correo específicos, evitando las defensas de las organizaciones gubernamentales y militares».
Las cadenas de ataque implican la explotación de fallas de Roundcube para entregar cargas útiles de JavaScript diseñadas para filtrar las credenciales del usuario a un servidor de comando y control (C2).
Recorded Future dijo que también encontró evidencia de que el TAG-70 apuntaba a las embajadas iraníes en Rusia y los Países Bajos, así como a la embajada de Georgia en Suecia.
«El ataque a las embajadas iraníes en Rusia y Holanda sugiere un interés geopolítico más amplio en evaluar las actividades diplomáticas de Irán, especialmente en lo que respecta a su apoyo a Rusia en Ucrania», dijo.
«Del mismo modo, el espionaje contra entidades gubernamentales georgianas refleja intereses en monitorear las aspiraciones de Georgia de ingresar a la Unión Europea (UE) y la OTAN».