Piratas informáticos patrocinados por el Estado ruso weaponizaron rápidamente una falla recién parcheada de Microsoft Office para atacar organizaciones en nueve países. El grupo, conocido como APT28, utilizó correos electrónicos de spear-phishing para instalar puertas traseras sigilosas en entidades diplomáticas, de defensa y de transporte. Investigadores de seguridad de Trellix atribuyeron los ataques con alta confianza a esta unidad notoria de ciberespionaje.
El 28 de enero de 2026, comenzó una campaña de spear-phishing de 72 horas que entregó al menos 29 señuelos de correo electrónico distintos a organizaciones en nueve países, incluidos Polonia, Eslovenia, Turquía, Grecia, los Emiratos Árabes Unidos, Ucrania, Rumanía y Bolivia. Los objetivos incluyeron principalmente ministerios de defensa (40 por ciento), operadores de transporte y logística (35 por ciento) y entidades diplomáticas (25 por ciento). Los atacantes explotaron CVE-2026-21509, una vulnerabilidad crítica de Microsoft Office parcheada en una actualización urgente e imprevista a finales del mes anterior. Menos de 48 horas después del parche, los piratas informáticos la analizaron en ingeniería inversa para crear un exploit avanzado que instaló una de dos puertas traseras novedosas: BeardShell o NotDoor. La campaña fue diseñada para sigilo y velocidad. Las infecciones iniciales provinieron de cuentas de correo gubernamentales previamente comprometidas, probablemente familiares para los destinatarios. Los exploits y cargas útiles estaban cifrados y se ejecutaban en memoria, evadiendo la detección en puntos finales. Los canales de mando y control utilizaron servicios en la nube legítimos, a menudo en listas blancas en redes sensibles. BeardShell proporcionó reconocimiento completo del sistema, persistencia inyectándose en procesos de Windows svchost.exe y permitió movimiento lateral, sin dejar artefactos en disco más allá de rastros en memoria de la inyección de código. NotDoor, desplegado como una macro VBA después de desactivar los controles de seguridad de Outlook, monitoreó carpetas como Bandeja de entrada, Borradores, Correo no deseado y Fuentes RSS. Agrupaba correos en archivos .msg enviados a cuentas controladas por los atacantes en filen.io, luego los eliminaba usando una propiedad personalizada 'AlreadyForwarded' y la bandera 'DeleteAfterSubmit' para evitar detección en cuentas de alto privilegio. «El uso de CVE-2026-21509 demuestra cuán rápidamente los actores alineados con el Estado pueden weaponizar nuevas vulnerabilidades, reduciendo la ventana para que los defensores parchen sistemas críticos», escribieron los investigadores de Trellix. La firma atribuyó la operación a APT28 —también rastreado como Fancy Bear, Sednit, Forest Blizzard y Sofacy— con alta confianza, citando indicadores técnicos, objetivos y técnicas como malware de múltiples etapas y abuso de servicios en la nube. El CERT-UA de Ucrania lo vinculó a UAC-0001, correspondiente a APT28, conocido por ciberespionaje y operaciones de influencia. Trellix proporcionó indicadores de compromiso para que las organizaciones verifiquen infecciones.
