Pesquisadores de segurança da Flare identificaram movimentações de agentes maliciosos em canais clandestinos do Telegram e fóruns de crimes cibernéticos. Dias após a divulgação de duas vulnerabilidades críticas no SmarterMail, grupos de hackers já compartilhavam e vendiam provas de conceito (PoC), ferramentas ofensivas e credenciais de administrador comprometidas.
As falhas, identificadas como CVE-2026-24423 e CVE-2026-23760, afetam a plataforma de e-mail corporativo e permitem, respectivamente, execução remota de código (RCE) sem autenticação e bypass de autenticação com redefinição de credenciais de administrador.
Ambas receberam pontuação CVSS de 9.3, considerada crítica, e sua combinação pode resultar no controle total dos servidores expostos.
Do fórum clandestino ao ataque real em dias
O que chama atenção é a velocidade com que o ecossistema criminoso reagiu. As CVEs foram publicadas no início de janeiro de 2026 e, no mesmo dia, já circulavam referências às falhas em grupos especializados. Dias depois, surgiram as primeiras provas de conceito funcionais.
Em um canal do Telegram em árabe, pesquisadores flagraram a demonstração de um PoC em funcionamento. Em um grupo de língua espanhola, foi identificada uma ferramenta ofensiva pronta para uso.
Em outro canal, um agente malicioso divulgou um dump completo de credenciais de administrador, supostamente extraído de servidores SmarterMail comprometidos, com domínios e logins expostos em lista extensa.
O padrão preocupa cada vez mais a comunidade de segurança: o tempo entre a divulgação de uma vulnerabilidade e sua weaponização, a transformação do exploit em arma para ataques em larga escala, está encolhendo de semanas para dias.
A própria empresa foi vítima da brecha
O caso ganhou contornos simbólicos quando se soube que a própria SmarterTools foi comprometida em janeiro de 2026. Atacantes exploraram um servidor SmarterMail interno sem patch, conectado às redes de escritório, laboratório e datacenter da companhia via Active Directory.
A invasão permitiu movimento lateral e afetou cerca de uma dúzia de servidores Windows. A empresa afirma que dados de clientes não foram comprometidos, pois a segmentação de rede impediu o sucesso do ataque de ransomware.
Mais de mil servidores ainda vulneráveis
Uma análise da Flare no Shodan identificou cerca de 34.000 servidores rodando o SmarterMail. Desse total, 1.185 ainda estavam vulneráveis às falhas de RCE ou bypass de autenticação, distribuídos principalmente nos Estados Unidos.
O perfil é variado — provedores de hospedagem compartilhada, VPS e painéis auto-hospedados por indivíduos —, o que sugere que muitos operadores independentes ainda não aplicaram as correções disponibilizadas pela SmarterTools.
CISA confirma exploração ativa em ransomware
No início de fevereiro de 2026, a CISA adicionou o CVE-2026-24423 ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), confirmando uso ativo da falha em campanhas de ransomware.
Investigações publicadas pelo Bleeping Computer apontam que operadores utilizaram o acesso via SmarterMail para se mover lateralmente antes de disparar os payloads de criptografia, tática clássica de afiliados de ransomware. Parte dessas campanhas foi vinculada ao grupo Warlock, com sobreposições identificadas com clusters alinhados a estados-nação.
Por que servidores de e-mail são o alvo?
Servidores de e-mail ocupam posição privilegiada na infraestrutura corporativa: geram tokens de autenticação de domínio, acionam fluxos de redefinição de senha, acessam grafos de contatos internos e se integram a serviços de diretório como o Active Directory.
Comprometer o servidor de e-mail significa, em muitos casos, comprometer a identidade digital de toda a organização — e ainda assim esses sistemas costumam ser monitorados com menos rigor do que endpoints protegidos por EDR.
Como se proteger
Especialistas recomendam tratar vulnerabilidades críticas em servidores de e-mail com a mesma urgência aplicada a falhas em controladores de domínio. Entre as medidas prioritárias estão:
- Aplicação imediata de patches;
- Monitoramento de redefinições de senha administrativas;
- Monitoramento de chamadas de API para hosts externos e tráfego HTTP inesperado originado dos servidores de e-mail;
- Segmentação de rede — que foi justamente o que impediu um desastre maior na própria SmarterTools.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
