یک گروه تهدید مرتبط با روسیه به عملیات جاسوسی سایبری به نام Operation RoundPress متهم شده که از طریق آسیب‌پذیری‌های XSS سرورهای وب‌میل مانند Roundcube، Horde، MDaemon و Zimbra را هدف قرار می‌دهد. این عملیات که از سال ۲۰۲۳ آغاز شده، با اطمینان متوسط به گروه APT28 (که با نام‌های مختلفی مانند Fancy Bear و Sofacy نیز شناخته می‌شود) نسبت داده شده است. هدف اصلی این عملیات سرقت داده‌های محرمانه از حساب‌های ایمیل خاص است و بیشتر قربانیان نهادهای دولتی و شرکت‌های دفاعی در اروپای شرقی هستند.

مهاجمان از آسیب‌پذیری‌های XSS در این پلتفرم‌ها برای اجرای کد JavaScript مخرب استفاده می‌کنند و بدافزاری به نام SpyPress را مستقر می‌کنند که قابلیت سرقت اعتبارنامه‌های وب‌میل، پیام‌های ایمیل و اطلاعات تماس را دارد. این حملات شامل استفاده از یک آسیب‌پذیری zero-day در MDaemon (CVE-2024-11182) نیز بوده است. بدافزار از طریق ایمیل‌های فیشینگ ارسال می‌شود و زمانی که قربانی ایمیل آلوده را در پورتال وب‌میل باز می‌کند، کد مخرب اجرا شده و اطلاعات سرقت شده به سرورهای کنترل مهاجمان ارسال می‌شود.