Peretas yang disponsori negara Rusia dengan cepat menjadikan kerentanan Microsoft Office yang baru di-patch sebagai senjata untuk menargetkan organisasi di sembilan negara. Kelompok yang dikenal sebagai APT28 menggunakan email spear-phishing untuk memasang pintu belakang sembunyi-sembunyi di entitas diplomatik, pertahanan, dan transportasi. Peneliti keamanan di Trellix menghubungkan serangan tersebut dengan keyakinan tinggi kepada unit mata-mata siber terkenal ini.
Pada 28 Januari 2026, kampanye spear-phishing selama 72 jam dimulai, mengirimkan setidaknya 29 umpan email berbeda ke organisasi di sembilan negara, termasuk Polandia, Slovenia, Turki, Yunani, UEA, Ukraina, Rumania, dan Bolivia. Target utama mencakup kementerian pertahanan (40 persen), operator transportasi dan logistik (35 persen), dan entitas diplomatik (25 persen). Penyerang mengeksploitasi CVE-2026-21509, kerentanan kritis Microsoft Office yang di-patch dalam pembaruan mendesak tak terjadwal akhir bulan sebelumnya. Kurang dari 48 jam setelah patch, peretas melakukan reverse engineering untuk membuat eksploitasi canggih yang memasang salah satu dari dua pintu belakang baru: BeardShell atau NotDoor. Kampanye dirancang untuk stealth dan kecepatan. Infeksi awal berasal dari akun email pemerintah yang telah dikompromikan sebelumnya, kemungkinan dikenal oleh penerima. Eksploitasi dan muatan terenkripsi dan dieksekusi di memori, menghindari deteksi endpoint. Saluran command-and-control menggunakan layanan cloud sah, sering kali di-whitelist di jaringan sensitif. BeardShell menyediakan pengintaian sistem penuh, persistensi dengan menyuntik ke proses svchost.exe Windows, dan memungkinkan pergerakan lateral, tanpa meninggalkan artefak berbasis disk selain jejak memori dari injeksi kode. NotDoor, dideploy sebagai makro VBA setelah menonaktifkan kontrol keamanan Outlook, memantau folder seperti Kotak Masuk, Draf, Sampah, dan Umpan RSS. Menggabungkan email ke file .msg yang dikirim ke akun yang dikendalikan penyerang di filen.io, kemudian menghapusnya menggunakan properti khusus 'AlreadyForwarded' dan flag 'DeleteAfterSubmit' untuk menghindari deteksi di akun berprivilegi tinggi. «Penggunaan CVE-2026-21509 menunjukkan betapa cepat aktor yang selaras dengan negara dapat menjadikan kerentanan baru sebagai senjata, mempersempit jendela bagi pembela untuk mem-patch sistem kritis,» tulis peneliti Trellix. Perusahaan tersebut menghubungkan operasi ke APT28—juga dilacak sebagai Fancy Bear, Sednit, Forest Blizzard, dan Sofacy—dengan keyakinan tinggi, mengutip indikator teknis, target, dan tradecraft seperti malware multi-tahap dan penyalahgunaan layanan cloud. CERT-UA Ukraina menghubungkannya dengan UAC-0001, yang sesuai dengan APT28, dikenal dengan operasi mata-mata siber dan pengaruh. Trellix menyediakan indikator kompromi untuk organisasi memeriksa infeksi.
