SideWinder stiehlt Zugangsdaten von Regierungs-Webmail mithilfe eines gefälschten Chrome-PDF-Viewers und eines Zimbra-Klon

Eine bekannte Advanced Persistent Threat Group namens SideWinder hat eine hochgradig gezielte Phishing-Kampagne gegen südasiatische Regierungsorganisationen gestartet, bei der ein gefälschter Chrome PDF Viewer und ein pi Eine bekannte Advanced Persistent Threat Group namens SideWinder hat eine hochgradig gezielte Phishing-Kampagne gegen südasiatische Regierungsorganisationen gestartet, bei der ein gefälschter Chrome PDF Viewer und ein pixelgenauer Klon des Zimbra E-Mail-Login-Portals verwendet werden, um Mitarbeiter-Zugangsdaten zu stehlen.

Die Kampagne, die seit mindestens Februar 2026 aktiv ist, hat sensible Institutionen wie die Bangladesh Navy, das Außenministerium Pakistans und mehrere andere Verteidigungs- und Regierungsstellen in der Region ins Visier genommen. Der Angriff beginnt mit einem Spearphishing-Link, der an die Zielpersonen gesendet wird.

Wenn ein Opfer den Link öffnet, landet es auf einer Seite, die exakt wie der integrierte PDF Viewer von Google Chrome aussieht. Das Phishing-Kit, intern mit Z2FA_LTS benannt, verwendet PDF.js Version 2.16.105, um diesen gefälschten Viewer zu rendern, komplett mit Werksteuerungen für Zoom, Drucken, Seitennavigation und Herunterladen.

Das angezeigte Dokument ist ein reales, gestohlenes diplomatisches Kabel der pakistanischen Regierung bezüglich der 152. IPU-Versammlung in Istanbul, aber es ist absichtlich verschwommen, damit das Opfer es nicht lesen kann.

Nach fünf Sekunden wird die Seite das Opfer automatisch zum nächsten Stadium des Angriffs weiterleiten. Breakglass Intelligence Analysten identifizierten das Phishing-Kit, nachdem der Forscher @volrant136 eine Cloudflare Workers URL meldete, die einen Zimbra-Credential-Harvester hostet, der auf das Webmail-Portal der Bangladesh Navy, mail.navy.mil.bd, zeigt.