Una reciente campaña de phishing ha comprometido a varias organizaciones en Polonia, aprovechando la vulnerabilidad CVE-2024-42009 presente en los sistemas de correo web de Roundcube. Este ataque permite la ejecución de código JavaScript al abrir correos electrónicos maliciosos, lo que facilita el robo de credenciales mediante un método sofisticado que utiliza Service Workers.
Investigadores de seguridad atribuyen esta campaña a UNC1151, un grupo de amenazas vinculado al gobierno bielorruso y, potencialmente, a los servicios de inteligencia rusos. Cabe destacar que esta es la primera vez que se documenta la explotación de esta vulnerabilidad en particular.
Según los informes de CERT Polska, el ataque aprovecha CVE-2024-42009, una vulnerabilidad crítica en Roundcube que permite la ejecución arbitraria de JavaScript cuando los usuarios abren mensajes de correo electrónico especialmente diseñados.
La vulnerabilidad se debe a procesos inadecuados de desinfección de HTML que no eliminan adecuadamente elementos y atributos peligrosos capaces de ejecutar código malicioso.
Los atacantes emplearon un mecanismo de entrega de carga útil JavaScript de dos etapas. El código de explotación inicial está incrustado en la estructura HTML del correo electrónico:
Este código explota la funcionalidad de animación CSS para ejecutar JavaScript que registra un trabajador de servicio en el navegador de la víctima.
Los Service Workers son funciones legítimas del navegador que permiten que JavaScript se ejecute en segundo plano e intercepte solicitudes de red, lo que los hace particularmente efectivos para las operaciones de recolección de credenciales.
La segunda etapa implica que el trabajador del servicio capture los intentos de autenticación a través de detectores de eventos:
Los atacantes están empleando un método avanzado que les permite mantener la persistencia dentro de los sistemas comprometidos y capturar credenciales sin interrumpir los procesos de autenticación habituales de los usuarios.
Analistas de seguridad han atribuido esta campaña a UNC1151 con un alto grado de confianza, basándose en el análisis de indicadores técnicos y patrones operativos. UNC1151 es un grupo de amenazas conocido por sus vínculos con el gobierno bielorruso, y algunas fuentes de inteligencia sugieren también conexiones con los servicios de inteligencia rusos.
La campaña se ha caracterizado por el uso de tácticas de ingeniería social muy convincentes, utilizando asuntos de correo electrónico urgentes relacionados con facturas. Un ejemplo de estos asuntos es: “[!IMPORTANT] Factura al número de reserva: S2500650676”, diseñado para incitar a una interacción inmediata por parte del usuario.
Los correos electrónicos se hacían pasar por comunicaciones comerciales legítimas solicitando el procesamiento de facturas para reservas de viajes, dirigidas específicamente a entidades polacas.
Además, los investigadores han identificado CVE-2025-49113, una vulnerabilidad de Roundcube recientemente descubierta que permite a atacantes autenticados ejecutar código y potencialmente comprometer servidores de correo web completos.
Si bien aún no se ha observado en la explotación activa, esta vulnerabilidad podría crear cadenas de ataques devastadoras cuando se combina con técnicas de recolección de credenciales.
Recomendaciones
Las organizaciones que utilizan Roundcube deben actualizar inmediatamente a las últimas versiones (1.6.11 o 1.5.10) para abordar la vulnerabilidad explotada.
El ataque se dirige específicamente a instalaciones obsoletas que carecen de parches de seguridad recientes.
Las organizaciones también deben cancelar el registro de cualquier Service Workers instalado navegando a sitios web de correo web, abriendo herramientas de desarrollador (F12), accediendo a Aplicaciones → Service Workers y haciendo clic en Anular registro.
Los usuarios afectados deben someterse a un restablecimiento de contraseña obligatorio y a una revisión exhaustiva de su actividad.
Detalles IoC
Dirección del remitente: irina.vingriena@gmail[.]com / julitaszczepanska38@gmail[.]com
Dirección de fuentes SMTP: 2001:67c:e60:c0c:192:42:116:216
Asunto del correo electrónico: [!WAZNE] Faktura do numeru rezerwacji: S2500650676
70cea07c972a30597cda7a1d3cd4cd8f75acad75940ca311a5a2033e6a1dd149, Delivery report sha256 y nombre del archivo JS adjunto
Dominio de recolección de credenciales utilizado por el atacante: a.mpk-krakow[.]pl
