FancyBear Exposto: Falha Grave de OPSEC em Operações de Espionagem Russas

Uma falha de OPSEC em um VPS da NameCheap expôs a infraestrutura de C2 ativa do FancyBear/APT28, revelando um toolkit modular de exploração de webmail. Este toolkit visava Roundcube e SquirrelMail via XSS para exfiltrar silenciosamente mais de 2.800 e-mails, roubar mais de 240 conjuntos de credenciais, incluindo segredos TOTP, e implantar mais de 140 regras persistentes de encaminhamento Sieve. Todas as mensagens recebidas eram redirecionadas para advenwolf@proton[.]me, sendo tudo acionado sem interação da vítima além da abertura de um e-mail de spearphishing.

O diretório aberto exposto na porta 8889 continha o código-fonte do C2 server-side, logs de telemetria completos e PDFs de isca direcionados a promotores ucranianos, Força Aérea Romena, GEETHA grega e Ministério da Defesa sérvio, abrangendo seis países. Defensores devem auditar instâncias de Roundcube e SquirrelMail em busca de regras Sieve não autorizadas, bloquear zhblz[.]com e 203.161.50[.]145, rotacionar credenciais e segredos TOTP para qualquer organização na lista de vítimas e desativar o ManageSieve onde não for operacionalmente necessário.