هکرهای روسی مرتبط با گروه APT28 (Fancy Bear) کمپین جاسوسی سایبری جهانی به نام “RoundPress” را از سال 2023 راه‌اندازی کرده‌اند که از آسیب‌پذیری‌های zero-day و n-day در سرورهای وب‌میل برای سرقت ایمیل از سازمان‌های دولتی مهم استفاده می‌کند. این حملات با ارسال ایمیل‌های فیشینگ هدفمند حاوی محتوای جاوا اسکریپت مخرب آغاز می‌شود که با باز کردن ایمیل، آسیب‌پذیری XSS در صفحه وب‌میل را سوءاستفاده کرده و بدون نیاز به تعامل بیشتر کاربر اجرا می‌شود.

این کمپین سازمان‌های دولتی در یونان، اوکراین، صربستان و کامرون، واحدهای نظامی در اوکراین و اکوادور، شرکت‌های دفاعی در اوکراین، بلغارستان و رومانی و زیرساخت‌های حیاتی را هدف قرار داده است. هکرها از آسیب‌پذیری‌های XSS در محصولات مختلف وب‌میل شامل Roundcube، Horde، MDaemon و Zimbra استفاده کرده‌اند تا اطلاعات حساس شامل اعتبارنامه‌ها، محتوای ایمیل‌ها، مخاطبین، تنظیمات وب‌میل و تاریخچه ورود را سرقت کنند و از طریق درخواست‌های HTTP POST به سرورهای کنترل ارسال نمایند.