MONTREAL, BRATISLAVA, le 15 mai 2025 — Les chercheurs d'ESET ont découvert RoundPress, une opération d'espionnage pro-russe, ciblant des serveurs de messagerie web via des vulnérabilités XSS. L'opération est probablement menée par Sednit, groupe de cyberespionnage pro-russe (connu sous le nom de Fancy Bear ou APT28), dont l'objectif est de voler des données confidentielles sur des comptes de messagerie spécifiques. La plupart des cibles sont liées à la guerre en Ukraine. Il s'agit soit d'entités gouvernementales ukrainiennes, soit d'entreprises de défense bulgares et roumaines. Certaines de celles-ci produisent des armes datant de l'ère soviétique destinées à l'Ukraine. Parmi les autres cibles il y a des gouvernements africains, européens et sud-américains.

« L'an dernier, nous avons vu différentes vulnérabilités XSS utilisées pour cibler d'autres logiciels de messagerie web : Horde, MDaemon et Zimbra. Sednit a également commencé à exploiter CVE-2023-43770, une vulnérabilité plus récente dans Roundcube. La vulnérabilité MDaemon (CVE-2024-11182, désormais corrigée) était une faille zero-day, découverte par Sednit, tandis que celles de Horde, Roundcube et Zimbra étaient déjà connues et corrigées », explique Matthieu Faou, le chercheur d’ESET, qui a découvert et enquêté sur l'opération RoundPress.

Sednit envoie ces exploits XSS par e-mail ; ils entraînent l'exécution de code JavaScript malveillant dans la page du client de messagerie web s'exécutant dans une fenêtre de navigateur. Ainsi, seules les données accessibles depuis le compte de la cible peuvent être lues et exfiltrées.

Pour que l'exploit fonctionne, il faut convaincre la cible d'ouvrir l'e-mail sur le portail de messagerie web vulnérable. L'e-mail doit donc contourner tout filtre anti-spam et l'objet doit être suffisamment convaincant pour inciter la cible à le lire, en abusant de médias d'information réputés tels que le média ukrainien Kyiv Post ou le portail d'information bulgare News.bg. Parmi les titres utilisés pour le spear phishing figuraient : « Le SBU a arrêté un banquier qui travaillait pour les renseignements militaires ennemis à Kharkiv » et « Poutine cherche à faire accepter par Trump les conditions russes dans les relations bilatérales ».

Les attaquants déploient les charges utiles JavaScript SpyPress.HORDE, SpyPress.MDAEMON, SpyPress.ROUNDCUBE et SpyPress.ZIMBRA sur les cibles. Ces charges peuvent voler des identifiants, exfiltrer le carnet d'adresses, les contacts et l'historique de connexion ainsi que des e-mails. SpyPress.MDAEMON peut contourner la protection de l'authentification à deux facteurs. Il exfiltre le secret de l'authentification à deux facteurs et crée un mot de passe d'application, permettant aux attaquants d'accéder à la boîte mail depuis une appli de messagerie.

« Ces deux dernières années, les serveurs de messagerie tels que Roundcube et Zimbra ont été la cible de plusieurs groupes d'espionnage, dont Sednit, GreenCube et Winter Vivern. De nombreuses organisations ne tiennent pas leurs serveurs de messagerie à jour, ainsi les vulnérabilités peuvent être déclenchées à distance par l'envoi d'un e-mail. C’est très pratique pour les attaquants de cibler ces serveurs et de voler des e-mails », explique Faou.

Le groupe Sednit, aussi connu sous les noms d'APT28, Fancy Bear, Forest Blizzard ou Sofacy, opère depuis au moins 2004. Le ministère américain de la Justice l'a désigné comme un des responsables du piratage du Comité National Démocrate (DNC) juste avant les élections américaines de 2016 et l'a lié au GRU. Il est soupçonné d'être à l'origine du piratage de la chaîne de télévision TV5Monde, de la fuite de courriels de l'Agence Mondiale Antidopage (AMA) et de nombreux autres incidents.

Pour une analyse plus détaillée et technique des outils Sednit utilisés dans Operation RoundPress, consultez le dernier article du blog d'ESET Research “Operation RoundPress” sur www.welivesecurity.com
Suivez ESET Research sur Twitter (today known as X), BlueSky, et Mastodon pour rester informé(e) de ses dernières actualités.

A propos d’ESET
Fondée en Europe, ESET® est le leader européen en cyber sécurité et possède des bureaux dans le monde entier. L‘entreprise offre une sécurité numérique de pointe pour prévenir les attaques. En combinant la puissance de l'IA et l'expertise humaine, ESET anticipe les cybermenaces mondiales émergentes, connues et inconnues, protégeant ainsi les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection de terminaux, du cloud ou d‘appareils mobiles, ses solutions et services cloud, basés sur l'IA, sont hautement efficaces et faciles à utiliser.
La technologie ESET est « Made in EU » et dispose d‘une détection et d‘une réponse robustes, un chiffrement ultra-sécurisé et une authentification multi facteur. Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. L'évolution constante du monde numérique exige une approche progressiste de la sécurité : ESET s'engage dans une recherche de pointe et une veille stratégique des menaces, avec le soutien de centres de R&D et d'un solide réseau mondial de partenaires. Pour plus d'informations, rendez-vous sur www.eset.com ou suivez ses réseaux sociaux, podcasts et blogs ou suivez-nous sur LinkedIn, Facebook, X et https://www.est.com/be-fr/.