Resumo
- Hackers ligados à Rússia exploraram uma falha Office poucas horas após a correção da Microsoft.
- O ataque comprometeu órgãos diplomáticos, marítimos e de defesa em nove países.
- Segundo a empresa de segurança Trellix, a campanha durou 72 horas e utilizou 29 iscas diferentes, principalmente na Europa Oriental.
Pesquisadores de segurança identificaram uma campanha de espionagem cibernética que teria sido conduzida por hackers ligados ao governo da Rússia. A ofensiva explorou rapidamente uma falha crítica no Microsoft Office e começou menos de 48 horas após a Microsoft liberar uma atualização emergencial para corrigir o problema.
O ataque permitiu o comprometimento de dispositivos usados por organizações diplomáticas, marítimas e de defesa em mais de meia dúzia de países. Segundo a Trellix, empresa de cibersegurança, a velocidade da exploração reduziu drasticamente o tempo disponível para que equipes de TI aplicassem os patches e protegessem sistemas sensíveis.
Falha corrigida virou arma em menos de dois dias
A vulnerabilidade, catalogada como CVE-2026-21509, foi explorada pelo grupo rastreado sob nomes como APT28, Fancy Bear, Sednit, Forest Blizzard e Sofacy. Após analisar a correção liberada pela Microsoft, os invasores conseguiram desenvolver um exploit avançado capaz de instalar dois backdoors inéditos.
De acordo com a Trellix, toda a operação foi planejada para evitar detecção por soluções tradicionais de proteção de endpoints. Os códigos maliciosos eram criptografados, executados apenas na memória e não deixavam artefatos relevantes em disco. Além disso, os primeiros contatos com as vítimas partiram de contas governamentais previamente comprometidas, o que aumentou a taxa de sucesso das mensagens de phishing.
“O uso da CVE-2026-21509 demonstra a rapidez com que agentes alinhados a estados podem explorar novas vulnerabilidades, reduzindo a janela de tempo para que os defensores corrijam sistemas críticos”, escrevem os pesquisadores.
Segundo eles, “a cadeia de infecção modular da campanha — do phishing inicial ao backdoor em memória e aos implantes secundários — foi cuidadosamente projetada para explorar canais confiáveis e técnicas sem arquivos, para se esconder à vista de todos”.
A campanha de spear phishing durou cerca de 72 horas, começou em 28 de janeiro e utilizou ao menos 29 iscas diferentes, enviadas a organizações em nove países, principalmente da Europa Oriental. Oito deles foram divulgados: Polônia, Eslovênia, Turquia, Grécia, Emirados Árabes Unidos, Ucrânia, Romênia e Bolívia.
Como funcionavam os malwares instalados?
O ataque resultou na instalação dos backdoors BeardShell e NotDoor. O BeardShell permitia reconhecimento completo do sistema, persistência por meio da injeção de código em processos do Windows e movimentação lateral dentro das redes comprometidas.
Já o NotDoor operava como uma macro VBA — um tipo de script de automação de tarefas comum, mas que foi usado aqui como um comando malicioso oculto –, instalada após o desarme das proteções de macro do Outlook.
Uma vez ativo, o NotDoor monitorava pastas de e-mail e feeds RSS, reunindo mensagens em arquivos .msg enviados para contas controladas pelos invasores em serviços de nuvem. Para driblar controles de segurança, o malware alterava propriedades internas dos e-mails e apagava vestígios do encaminhamento automático.
A Trellix atribuiu a campanha ao grupo APT28 com “alta confiança”, avaliação reforçada pela Equipe de Resposta a Emergências Cibernéticas da Ucrânia (CERT-UA), que classifica o mesmo como UAC-0001. “A APT28 tem um longo histórico de espionagem cibernética e operações de influência”, afirmou a empresa.
Hackers russos usam falha crítica do Microsoft Office para espionar usuários
