Hackers patrocinados pelo Estado russo weaponizaram rapidamente uma falha recém-corrigida do Microsoft Office para atingir organizações em nove países. O grupo, conhecido como APT28, usou e-mails de spear-phishing para instalar backdoors furtivas em entidades diplomáticas, de defesa e de transporte. Pesquisadores de segurança da Trellix atribuíram os ataques com alta confiança a esta unidade notória de espionagem cibernética.
Em 28 de janeiro de 2026, uma campanha de spear-phishing de 72 horas começou, entregando pelo menos 29 iscas de e-mail distintas a organizações em nove países, incluindo Polônia, Eslovênia, Turquia, Grécia, Emirados Árabes Unidos, Ucrânia, Romênia e Bolívia. Os alvos incluíam principalmente ministérios de defesa (40 por cento), operadores de transporte e logística (35 por cento) e entidades diplomáticas (25 por cento). Os atacantes exploraram CVE-2026-21509, uma vulnerabilidade crítica do Microsoft Office corrigida em uma atualização urgente e não programada no final do mês anterior. Menos de 48 horas após o patch, os hackers fizeram engenharia reversa para criar um exploit avançado que instalou um de dois backdoors novedosos: BeardShell ou NotDoor. A campanha foi projetada para furtividade e velocidade. As infecções iniciais vieram de contas de e-mail governamentais previamente comprometidas, provavelmente familiares aos destinatários. Exploits e payloads foram criptografados e executados na memória, evadindo detecção de endpoint. Canais de comando e controle usaram serviços de nuvem legítimos, frequentemente na lista de permissões em redes sensíveis. BeardShell forneceu reconhecimento completo do sistema, persistência injetando-se em processos svchost.exe do Windows e permitiu movimento lateral, sem deixar artefatos baseados em disco além de traços de memória da injeção de código. NotDoor, implantado como uma macro VBA após desativar os controles de segurança do Outlook, monitorou pastas como Caixa de Entrada, Rascunhos, Junk Mail e Feeds RSS. Agrupou e-mails em arquivos .msg enviados para contas controladas pelos atacantes em filen.io, depois os excluiu usando uma propriedade personalizada 'AlreadyForwarded' e flag 'DeleteAfterSubmit' para evitar detecção em contas de alto privilégio. «O uso da CVE-2026-21509 demonstra como atores alinhados ao Estado podem weaponizar novas vulnerabilidades rapidamente, encolhendo a janela para os defensores corrigirem sistemas críticos», escreveram os pesquisadores da Trellix. A empresa atribuiu a operação ao APT28—também rastreado como Fancy Bear, Sednit, Forest Blizzard e Sofacy—com alta confiança, citando indicadores técnicos, alvos e táticas como malware multi-estágio e abuso de serviços de nuvem. O CERT-UA da Ucrânia o vinculou ao UAC-0001, correspondente ao APT28, conhecido por espionagem cibernética e operações de influência. A Trellix forneceu indicadores de comprometimento para organizações verificarem infecções.
