FancyBear Exposto: Falha Grave de OPSEC em Operações de Espionagem Russas
Aprofundamento CEVIU
Aprofundamento
O FancyBear expôs, por descuido operacional, um de seus C2s ativos em um VPS da NameCheap, e não foi um erro isolado, mas o sintoma de uma pressão crescente sobre a infraestrutura do grupo desde 2022. A falha na OPSEC permitiu acesso direto ao código-fonte do servidor, logs completos de telemetria e iscas PDF direcionadas a alvos específicos: promotores ucranianos, Força Aérea Romena, GEETHA grega e Ministério da Defesa sérvio. O toolkit modular explorava XSS em Roundcube e SquirrelMail para implantar regras Sieve persistentes, redirecionando mensagens para advenwolf@proton[.]me sem qualquer interação além da abertura de um e-mail malicioso. Isso é coerente com padrões observados desde 2024: o grupo migrou de implantes monolíticos (como XAgent) para cadeias de infecção modulares que abusam de serviços legítimos, como filen.io em janeiro de 2026 e agora o próprio protocolo Sieve como vetor de exfiltração silenciosa.
A infraestrutura exposta também revela uma mudança tática concreta: em vez de depender exclusivamente de domínios falsos ou C2s em nuvem, o grupo passou a usar funcionalidades nativas de webmail como mecanismo de persistência. Isso reduz a detecção em tráfego de rede, evita comunicação externa suspeita e escala automaticamente com o volume de e-mails recebidos, um salto operacional em relação às campanhas anteriores baseadas em backdoors VBA (NotDoor) ou CovenantGrunt.
Por que isso importa
Essa falha não é só um vazamento de dados: ela demonstra que o FancyBear está usando o próprio ecossistema de e-mail corporativo como arma. Regras Sieve não autorizadas são difíceis de detectar em ambientes onde o ManageSieve está habilitado por conveniência, e quase impossíveis de rastrear sem auditoria ativa no lado do servidor. Para defensores, isso significa que a proteção contra espionagem russa já não começa com EDR ou sandboxing, mas com revisão de permissões de webmail, desativação de serviços desnecessários e monitoramento contínuo de regras de encaminhamento. A exposição também confirma que o grupo mantém infraestrutura frágil mesmo em operações críticas, um ponto de alavancagem real para resposta ofensiva e bloqueio proativo.
Perguntas frequentes
O que é uma regra Sieve e por que ela é perigosa nesse contexto?
Sieve é uma linguagem padrão para filtrar e encaminhar e-mails em servidores IMAP. Quando comprometida, permite redirecionar mensagens automaticamente, sem notificação, sem log visível para o usuário e sem tráfego anômalo. No caso do FancyBear, cada e-mail recebido pela vítima era copiado silenciosamente para advenwolf@proton[.]me.
Por que o domínio zhblz[.]com e o IP 203.161.50[.]145 devem ser bloqueados agora?
Eles foram identificados como endpoints ativos do C2 exposto, o IP hospeda o VPS com o toolkit de exploração, e o domínio aparece nos logs como fonte de iscas e redirecionamentos. Bloqueá-los impede novas infecções e corta canais de exfiltração ainda ativos.
Como saber se meu servidor Roundcube ou SquirrelMail foi comprometido?
Verifique se há regras Sieve criadas por usuários sem justificativa operacional, especialmente com ações de encaminhamento para domínios externos. Revise os logs de acesso ao plugin 'ManageSieve' e busque por requisições POST incomuns no diretório /plugins/managesieve/. Também analise arquivos de configuração em /config/ para entradas suspeitas de hosts remotos.
Esse vazamento afeta apenas governos ou também empresas privadas?
Afeta qualquer organização que use Roundcube ou SquirrelMail com ManageSieve habilitado, incluindo provedores de e-mail, universidades, ONGs e empresas de médio porte. Os 2.800 e-mails exfiltrados vieram de seis países, mas não há indicação de que os alvos fossem exclusivamente estatais; muitos eram operadores logísticos e entidades diplomáticas com infraestrutura terceirizada.
Fontes
- ctrlaltintel.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 18 de março de 2026
- Editoria
- CEVIU Segurança da Informação
