ロシア国営ハッカーが新たにパッチされたMicrosoft Officeの欠陥を迅速に武器化し、9カ国の組織を標的にした。APT28として知られるグループは、スピアフィッシングメールを使用して外交、防衛、交通機関に隠密なバックドアをインストールした。Trellixのセキュリティ研究者は、この悪名高いサイバー諜報部隊に高い確信を持って攻撃を帰属させた。
2026年1月28日、72時間のスピアフィッシングキャンペーンが開始され、9カ国にわたる組織に少なくとも29種類の異なるメール誘導を配信した。対象国にはポーランド、スロベニア、トルコ、ギリシャ、アラブ首長国連邦、ウクライナ、ルーマニア、ボリビアが含まれる。標的は主に国防省(40%)、輸送・物流事業者(35%)、外交機関(25%)だった。攻撃者は、前月末の緊急非予定アップデートでパッチされたMicrosoft Officeのクリティカル脆弱性CVE-2026-21509を悪用した。パッチ後48時間以内に、ハッカーはこれをリバースエンジニアリングして高度なエクスプロイトを作成し、2つの新規バックドアBeardShellまたはNotDoorのいずれかをインストールした。キャンペーンは隠密性と速度のために設計された。初期感染は受信者に馴染みのある事前侵害政府メールアカウントから来ていた。エクスプロイトとペイロードは暗号化されメモリ上で実行され、エンドポイント検知を回避した。コマンドアンドコントロールチャネルは正当なクラウドサービスを使用し、敏感なネットワークでしばしばホワイトリスト化されていた。BeardShellはシステム全体の偵察、Windows svchost.exeプロセスへの注入による永続性、横移動を可能にし、コードインジェクションのメモリトレース以外にディスクベースのアーティファクトを残さなかった。NotDoorはOutlookのセキュリティ制御を無効化した後VBAマクロとして展開され、受信トレイ、下書き、ジャンクメール、RSSフィードなどのフォルダを監視した。メールを.msgファイルにまとめ、攻撃者制御のfilen.ioアカウントに送信した後、カスタム「AlreadyForwarded」プロパティと「DeleteAfterSubmit」フラグを使用して削除し、高権限アカウントでの検知を避けた。「CVE-2026-21509の使用は、国家連動アクターが新脆弱性をどれほど迅速に武器化できるかを示しており、防衛者のクリティカルシステムパッチ適用窓を縮小している」とTrellix研究者は書いた。同社は技術指標、標的、複数ステージマルウェアやクラウドサービス乱用などの手口から、高い確信でAPT28(Fancy Bear、Sednit、Forest Blizzard、Sofacyとしても追跡)を帰属させた。ウクライナのCERT-UAはこれをAPT28に相当するUAC-0001に結びつけた。同グループはサイバー諜報と影響工作で知られる。Trellixは組織が感染を確認するための侵害指標を提供した。
