Planes de la semana: filtración de secretos de Estado. Vulnerabilidad 0‑day en Zimbra permite leer de forma encubierta el correo gubernamenta

Los especialistas de StrikeReady detectaron una serie de ataques dirigidos en los que los atacantes explotaron una vulnerabilidad de día cero en Zimbra Collaboration Suite (ZCS), una popular plataforma de correo de código abierto utilizada por numerosos organismos gubernamentales y empresas en todo el mundo. El fallo recibió el identificador CVE-2025-27915 y consiste en una vulnerabilidad XSS, que surge por la insuficiente filtración del contenido HTML en archivos .ICS del calendario. Como resultado, el atacante podía inyectar código JavaScript malicioso y ejecutarlo en el contexto de la sesión del usuario.

Los archivos ICS, también conocidos como iCalendar, sirven para almacenar datos sobre eventos, citas y tareas y se usan ampliamente para intercambiar calendarios entre distintas aplicaciones. Fue ese formato el que los atacantes escogieron para introducir el exploit: un correo malicioso, disfrazado como un mensaje oficial de la oficina de protocolo de la Armada de Libia, contenía un archivo ICS de aproximadamente 100 KB que incluía un fragmento de JavaScript cifrado. El código estaba codificado en Base64 y se activaba al abrir el adjunto.

Según StrikeReady, el ataque se dirigió a una organización militar en Brasil y comenzó a principios de enero, mucho antes de la publicación del parche. Zimbra corrigió la vulnerabilidad solo el 27 de enero, publicando las actualizaciones ZCS 9.0.0 P44, 10.0.13 y 10.1.5. La notificación oficial no mencionó la explotación activa del fallo, lo que hace especialmente relevante el hallazgo de StrikeReady.

Tras descifrar el código JavaScript, los especialistas determinaron que el script estaba cuidadosamente diseñado para robar datos de Zimbra Webmail: inicios de sesión, contraseñas, la libreta de direcciones, correos y carpetas compartidas. El script empleaba ejecución asíncrona y una serie de funciones IIFE que garantizaban sigilo y multihilo. Entre las acciones detectadas se incluyen: la creación de campos ocultos para el robo de credenciales, la monitorización de la actividad del usuario seguida de un cierre forzado para capturar nuevamente el inicio de sesión, llamadas a la API SOAP de Zimbra para buscar y extraer mensajes, el reenvío del contenido cada 4 horas, así como añadir un filtro llamado «Correo» que redirigía el correo a una dirección de Proton de los atacantes.

Además, el código malicioso recopilaba artefactos de autenticación y copias de seguridad, exportaba listas de contactos y recursos compartidos, ocultaba elementos de la interfaz para no levantar sospechas e implementaba un inicio diferido — 60 segundos antes de comenzar la ejecución y una limitación para reiniciarse no más de una vez cada tres días. Esa estructura permitía que la actividad maliciosa permaneciera prácticamente inadvertida durante largo tiempo.

Los especialistas no pudieron atribuir con alto grado de certeza el ataque a un grupo concreto, pero señalaron que ese nivel de desarrollo del exploit es característico de un círculo muy reducido de actores con los recursos necesarios para buscar vulnerabilidades de día cero. El informe también menciona la similitud de las técnicas con las usadas anteriormente por el grupo UNC1151.

StrikeReady publicó indicadores de compromiso detallados y el código descifrado del exploit que utilizó el formato .ICS como canal de entrega. La empresa subraya que este tipo de ataques es difícil de detectar con medios estándar, ya que los adjuntos de calendario se consideran tradicionalmente seguros y no despiertan sospechas en los filtros. El incidente demostró que incluso formatos que a primera vista parecen inofensivos pueden servir como vector efectivo de entrega de código malicioso cuando no se verifica adecuadamente el contenido en el servidor.