Los servidores de correo web vulnerables parecen ser parte del modus operandi general que los piratas informáticos rusos utilizan para sus campañas de espionaje. Anteriormente, en junio de 2023, otro grupo de ciberespionaje patrocinado por el estado ruso, BlueDelta (también conocido como FancyBear, APT28), estaba apuntando a instalaciones vulnerables de Roundcube en toda Ucrania y también había explotado CVE202323397, una vulnerabilidad crítica de día cero en Microsoft Outlook en 2022, según Insikt Group.
Otros conocidos grupos rusos de actores de amenazas, como Sandworm y BlueBravo APT29, Midnight Blizzard, también han apuntado a soluciones de correo electrónico en varias campañas en el pasado, añadió Insikt Group.
CVE-2023-5631 afecta a las versiones de Roundcube anteriores a 1.4.15, 1.5.x anteriores a 1.5.5 y 1.6.x anteriores a 1.6.4. «Para mitigar el riesgo planteado por la campaña de TAG-70, las organizaciones deben asegurarse de que sus instalaciones de Roundcube estén parcheadas y actualizadas, mientras buscan activamente indicadores de compromiso (IoC) en sus entornos», agrega el informe.
Campaña con motivos geopolíticos
La investigación señala que los servidores de correo electrónico representan un riesgo significativo en el contexto del actual conflicto entre Rusia y Ucrania, al exponer información confidencial sobre el esfuerzo y la planificación bélica de Ucrania. Según las conclusiones del Grupo Insikt, el 31 por ciento de las víctimas de Wintern Vivern eran de Ucrania.
«Además, Insikt Group detectó TAG70 apuntando a las embajadas de Irán en Rusia y los Países Bajos, lo cual es notable dado el apoyo de Irán al esfuerzo bélico de Rusia en Ucrania», agrega el informe. «Del mismo modo, el espionaje contra entidades gubernamentales georgianas refleja intereses en monitorear las aspiraciones de Georgia de ingresar a la Unión Europea (UE) y la OTAN».
En marzo de 2023, el grupo de amenazas Fue reportado haber apuntado a funcionarios electos en los Estados Unidos y su personal. Casi al mismo tiempo, SentinelLabs reveló el otro grupo campañas de espionaje con objetivos globales.