黑客发起全球间谍行动，政府邮箱被利用XSS漏洞入侵

网络攻防情报小组 C4安全团队 2025-05-27 06:05

近日，安全研究人员披露，一个名为“RoundPress”
的全球网络间谍活动正在持续展开，攻击者通过 Webmail 服务中的数个XSS漏洞，对全球多国政府和关键机构发起邮件窃密攻击。该行动被认为与黑客组织 APT28（又称“Fancy Bear”或“Sednit”）有关。

一、行动时间跨度长，涉及目标广泛

这项网络间谍活动始于 2023 年，并在 2024 年持续扩展攻击范围。被攻击的 Webmail 系统包括 Roundcube、Horde、MDaemon 及 Zimbra。

根据披露，遭到攻击的目标涵盖：
1. 希腊、乌克兰、塞尔维亚、喀麦隆等国家政府部门
；

1. 乌克兰和厄瓜多尔的军方单位
   ；

2. 乌克兰、保加利亚、罗马尼亚的国防企业
   ；

3. 乌克兰和保加利亚的关键基础设施单位
   。

攻击目标分布（来源：ESET）

二、打开邮件即中招，攻击过程零交互

攻击从一封带有当前新闻或政治内容的钓鱼邮件开始，攻击者常引用真实新闻片段
提升可信度。

邮件正文中嵌入恶意 JavaScript 脚本，借助 Webmail 前端页面的 XSS 漏洞实现执行。受害者仅需打开邮件即可触发攻击，无需点击链接、输入信息或其他操作
。

攻击链概述（来源：ESET）

攻击脚本不具备持久化能力，但足以在一次执行中完成以下行为：
1. 创建隐藏输入字段，引导浏览器或密码管理器自动填充邮箱凭据
；
凭据窃取函数（来源：ESET）

1. 读取页面 DOM 或发送 HTTP 请求，获取邮件内容、联系人、Webmail 配置、登录记录、2FA 设置及密码等信息；

2. 将采集数据通过 HTTP POST 请求发送至攻击者控制的远程服务器。

根据目标 Webmail 产品的不同，攻击脚本具备略有差异的功能模块，表现出高度定制化
。

三
、涉及多个严重 XSS 漏洞

“RoundPress” 行动利用了多个 Webmail 产品中的 XSS 漏洞，进行恶意 JavaScript 注入。具体漏洞包括：

1.Roundcube – CVE-2020-35730

2023 年被用于攻击的存储型 XSS 漏洞，攻击者将脚本嵌入邮件正文，用户在浏览器中打开即被执行
，导致凭据和数据泄露。

2.Roundcube – CVE-2023-43770

2024 年初被利用的漏洞，Roundcube 在处理超链接文字时存在过滤不当问题，攻击者可插入