Ryska statliga hackare utnyttjade en kritisk sårbarhet i Microsoft Office som gjorde det möjligt för dem att äventyra enheter inom diplomat-, sjöfarts- och transportbyråer i mer än sex länder, meddelade forskare på onsdagen.
Hotgruppen, spårad under namn som APT28, Fancy Bear, Sednit, Forest Blizzard och Sofacy, attackerade sårbarheten som spårades som CVE-2026-21509 mindre än 48 timmar efter att Microsoft släppte en oplanerad kritisk säkerhetsuppdatering i slutet av förra månaden, sa forskare. Efter omvänd konstruktion av plåstret skapade gruppmedlemmarna en sofistikerad exploatering som installerade ett av två aldrig tidigare skådade bakdörrsimplantat.
Stealth, snabbhet och precision
Hela kampanjen var utformad för att säkerställa att inga kompromisser upptäcktes mot ändpunktsskydd. Förutom att vara ny, var exploateringen och nyttolasten krypterade och exekverade i minnet, vilket gjorde deras skadliga natur svår att upptäcka. Den initiala infektionsvektorn kom från tidigare komprometterade statliga konton i flera länder, vilket kan vara bekant för de riktade e-postägarna. Kommando-och-kontrollkanalen var värd på en legitim, auktoriserad molntjänst, vanligtvis inom ett klassificerat nätverk.
”Användningen av CVE-2026-21509 illustrerar hur nationalstatliga angripare snabbt kan beväpna nya sårbarheter, vilket minskar fönstret för försvarare att korrigera kritiska system”, skrev forskarna i samarbete med säkerhetsföretaget Trellix. ”Från det initiala nätfisket till bakdörren i minnet till det sekundära implantatet, denna kampanjs modulära infektionskedja är noggrant utformad för att gömma sig i sikte genom att utnyttja betrodda kanaler (från HTTPS till molntjänster till legitima e-postflöden) och fillösa tekniker.”
Den 72 timmar långa spjutfiskekampanjen började den 28 januari och levererade minst 29 olika e-postmeddelanden till organisationer i nio länder, främst i Östeuropa. Trellix namngav åtta av dem: Polen, Slovenien, Turkiet, Grekland, Förenade Arabemiraten, Ukraina, Rumänien och Bolivia. Målorganisationerna var försvarsministeriet (40 %), transport- och logistikföretag (35 %) och diplomatiska organisationer (25 %).
