Des hackers sponsorisés par l'État russe ont rapidement transformé en arme une faille récemment corrigée de Microsoft Office pour cibler des organisations dans neuf pays. Le groupe, connu sous le nom d'APT28, a utilisé des e-mails de spear-phishing pour installer des backdoors furtives dans des entités diplomatiques, de défense et de transport. Les chercheurs en sécurité de Trellix ont attribué les attaques avec une grande confiance à cette unité d'espionnage cybernotoire.
Le 28 janvier 2026, une campagne de spear-phishing de 72 heures a commencé, délivrant au moins 29 appâts e-mail distincts à des organisations dans neuf pays, dont la Pologne, la Slovénie, la Turquie, la Grèce, les Émirats arabes unis, l'Ukraine, la Roumanie et la Bolivie. Les cibles incluaient principalement les ministères de la Défense (40 %), les opérateurs de transport et de logistique (35 %) et les entités diplomatiques (25 %). Les attaquants ont exploité CVE-2026-21509, une vulnérabilité critique de Microsoft Office corrigée dans une mise à jour urgente et non programmée fin du mois précédent. Moins de 48 heures après le correctif, les hackers l'ont analysée en ingénierie inverse pour créer un exploit avancé installant l'un de deux backdoors novateurs : BeardShell ou NotDoor. La campagne a été conçue pour la furtivité et la vitesse. Les infections initiales provenaient de comptes e-mail gouvernementaux précédemment compromis, probablement familiers aux destinataires. Les exploits et charges utiles étaient chiffrés et exécutés en mémoire, évitant la détection aux points d'extrémité. Les canaux de commandement et de contrôle utilisaient des services cloud légitimes, souvent en liste blanche dans les réseaux sensibles. BeardShell offrait une reconnaissance complète du système, une persistance par injection dans les processus svchost.exe de Windows, et permettait le mouvement latéral, sans laisser d'artefacts sur disque au-delà des traces mémoire de l'injection de code. NotDoor, déployé comme une macro VBA après désactivation des contrôles de sécurité d'Outlook, surveillait des dossiers comme Boîte de réception, Brouillons, Courrier indésirable et Flux RSS. Il regroupait les e-mails en fichiers .msg envoyés vers des comptes contrôlés par les attaquants sur filen.io, puis les supprimait en utilisant une propriété personnalisée 'AlreadyForwarded' et un drapeau 'DeleteAfterSubmit' pour éviter la détection dans des comptes à hauts privilèges. « L'utilisation de CVE-2026-21509 montre à quelle vitesse les acteurs alignés sur l'État peuvent weaponiser de nouvelles vulnérabilités, réduisant la fenêtre pour que les défenseurs corrigent les systèmes critiques », ont écrit les chercheurs de Trellix. La firme a attribué l'opération à APT28 — également suivi comme Fancy Bear, Sednit, Forest Blizzard et Sofacy — avec une grande confiance, citant des indicateurs techniques, des cibles et des techniques comme les malwares multi-étapes et l'abus de services cloud. Le CERT-UA ukrainien l'a lié à UAC-0001, correspondant à APT28, connu pour l'espionnage cyber et les opérations d'influence. Trellix a fourni des indicateurs de compromission pour que les organisations vérifient les infections.
