En TecnetOne queremos que estés al tanto de los riesgos más recientes en ciberseguridad para que puedas proteger mejor tu infraestructura digital. Esta vez, el foco está en Zimbra Collaboration Suite (ZCS), una plataforma muy usada para correo y colaboración empresarial, que recientemente fue blanco de un ataque zero-day bastante sigiloso.
Todo comenzó cuando investigadores detectaron archivos de calendario .ICS sospechosamente grandes. Estos archivos (más conocidos como iCalendar) son formatos estándar usados para programar reuniones, eventos o tareas, y se intercambian fácilmente entre aplicaciones como Outlook, Google Calendar o Apple Calendar.
Lo preocupante es que actores maliciosos lograron usar estos archivos como vehículo para un ataque. Aprovecharon una vulnerabilidad identificada como CVE-2025-27915, una falla de cross-site scripting (XSS) presente en Zimbra 9.0, 10.0 y 10.1. Mediante esta falla, los atacantes inyectaron código JavaScript dentro de archivos .ICS y lo enviaron a los sistemas objetivo. ¿El resultado? Podían ejecutar scripts maliciosos directamente en el navegador de la víctima, sin levantar sospechas.
El origen de la vulnerabilidad está en una validación deficiente del contenido HTML dentro de los archivos .ICS. Esta falla permitió a los atacantes ejecutar JavaScript malicioso directamente en la sesión del usuario, lo que les daba la capacidad de, por ejemplo, crear filtros que redirigían correos a cuentas controladas por ellos.
Zimbra solucionó esta brecha de seguridad el 27 de enero, lanzando parches para sus versiones ZCS 9.0.0 P44, 10.0.13 y 10.1.5. Sin embargo, en el anuncio oficial no se hizo referencia a que esta vulnerabilidad ya estuviera siendo explotada activamente.
Poco después, se descubrió que los atacantes habían comenzado a aprovechar esta falla desde principios de enero, semanas antes de que el parche estuviera disponible. La pista clave surgió al analizar archivos .ICS que superaban los 10 KB y contenían fragmentos de código JavaScript oculto, algo totalmente inusual para este tipo de archivos.
En una de las campañas detectadas, el actor de amenazas suplantó a la Oficina de Protocolo de la Armada de Libia mediante un correo electrónico aparentemente legítimo, el cual incluía un exploit de día cero dirigido a una organización militar en Brasil. Un ataque cuidadosamente diseñado, que demuestra la sofisticación y el enfoque dirigido de este tipo de amenazas.
Correo electrónico malicioso enviado por los atacantes (Fuente: StrikeReady)
El correo malicioso incluía un archivo .ICS de tamaño casi nulo (0 KB), pero con una sorpresa dentro: código JavaScript ofuscado usando codificación Base64, una técnica común para ocultar el verdadero propósito del código y evadir los sistemas de detección.
Desofuscando la carga útil de JavaScript
Podría interesarte leer: XWorm: El Malware que Regresa con Ransomware y más de 35 Plugins
Tras analizar el archivo infectado, investigadores descubrieron que la carga útil estaba diseñada específicamente para robar datos sensibles desde Zimbra Webmail. Entre la información comprometida se encuentran credenciales de acceso, correos electrónicos, contactos y hasta carpetas compartidas.
El código JavaScript utilizado era altamente sofisticado. Estaba ofuscado usando Base64 y se ejecutaba de forma asíncrona, aprovechando funciones que se activan automáticamente al cargar (conocidas como IIFE, por sus siglas en inglés). Esto le daba al malware un comportamiento sigiloso y difícil de detectar.
Crear campos ocultos para capturar nombres de usuario y contraseñas.
Robar credenciales directamente desde los formularios de inicio de sesión.
Monitorear la actividad del usuario (movimientos del mouse y teclado) y cerrar la sesión tras un período de inactividad para activar el robo de datos.
Usar la API SOAP de Zimbra para buscar carpetas y extraer correos electrónicos.
Exfiltrar correos electrónicos al atacante, repitiendo este proceso cada 4 horas.
Crear un filtro llamado "Correo" que reenvía todos los mensajes entrantes a una dirección externa (en este caso, una cuenta en ProtonMail).
Robar y enviar copias de datos de autenticación y respaldo.
Extraer contactos, listas de distribución y carpetas compartidas del usuario comprometido.
Introducir un retraso de 60 segundos antes de ejecutar el script, para evitar sospechas.
Aplicar una “puerta de tiempo” de 3 días, asegurándose de no ejecutarse nuevamente hasta que pase ese período, para mantener un perfil bajo.
Ocultar ciertos elementos visuales en la interfaz de usuario de Zimbra, reduciendo las señales visibles de que algo anda mal.
En resumen, no se trata de un ataque genérico. Está diseñado con precisión quirúrgica para operar sin ser detectado, extraer información crítica y mantener persistencia en el sistema de la víctima.
Aunque no se ha atribuido este ataque con certeza a un grupo específico, los investigadores coinciden en que hay muy pocos actores con la capacidad de descubrir y explotar vulnerabilidades de día cero en plataformas ampliamente utilizadas como Zimbra.
Si bien no hay una atribución oficial, se menciona que un grupo de origen ruso tiene historial en este tipo de campañas avanzadas. Además, algunas de las tácticas, técnicas y procedimientos (TTP) observados coinciden con los utilizados anteriormente por UNC1151, un grupo de amenazas vinculado al gobierno de Bielorrusia según informes previos de la industria.
Conoce más sobre: Vulnerabilidades Zero-Day más Explotadas en 2025
En TecnetOne, siempre recomendamos actuar con anticipación frente a cualquier señal de actividad sospechosa, incluso si los ataques aún no se han propagado a gran escala. La prevención sigue siendo la mejor defensa.
Para proteger tus sistemas ante este tipo de amenazas avanzadas, te sugerimos tomar las siguientes medidas clave:
Revisa los filtros de correo ya configurados, en busca de reglas inusuales o cambios no autorizados que puedan estar reenviando mensajes de forma encubierta.
Asegúrate de tener instalada la última versión de tu plataforma de correo y colaboración. Los parches de seguridad que corrigen esta vulnerabilidad ya están disponibles y es fundamental aplicarlos cuanto antes.
Inspecciona el almacén de mensajes y analiza cualquier archivo .ICS que incluya contenido codificado en Base64. Este tipo de archivos son poco comunes y podrían estar ocultando cargas maliciosas.
Monitorea el tráfico de red, especialmente salidas no reconocidas o conexiones a servidores externos inusuales, ya que pueden indicar exfiltración de datos u otras actividades maliciosas.
En TecnetOne, trabajamos para ayudarte a mantener tus sistemas seguros y actualizados. Nuestro equipo está listo para asesorarte, revisar tus entornos y ayudarte a implementar medidas de protección eficaces frente a amenazas como esta. Si tienes dudas o necesitas apoyo, no dudes en contactarnos.