Ryska statsstödjda hackare vapeniserade snabbt en nyligen patchad Microsoft Office-brist för att rikta in sig på organisationer i nio länder. Gruppen, känd som APT28, använde spjutphishing-mejl för att installera smygande bakdörrar i diplomatiska, försvars- och transportenheter. Säkerhetsforskare på Trellix tillskrev attackerna med hög säkerhet till denna ökända cyberespionageenhet.
Den 28 januari 2026 inleddes en 72-timmars spjutphishing-kampanj som levererade minst 29 distinkta e-postfällor till organisationer i nio länder, inklusive Polen, Slovenien, Turkiet, Grekland, Förenade Arabemiraten, Ukraina, Rumänien och Bolivia. Målen inkluderade främst försvarsministerier (40 procent), transport- och logistikoperatörer (35 procent) och diplomatiska enheter (25 procent). Angriparna utnyttjade CVE-2026-21509, en kritisk Microsoft Office-sårbarhet som patchades i en brådskande oschemalagd uppdatering i slutet av föregående månad. Mindre än 48 timmar efter patchen reverse-engineerades den av hackarna för att skapa en avancerad exploit som installerade en av två nya bakdörrar: BeardShell eller NotDoor. Kampanjen var utformad för smyg och hastighet. Initiala infektioner kom från tidigare komprometterade regeringsmejlkonton, troligen bekanta för mottagarna. Exploits och payloads var krypterade och exekverades i minnet, undvikande endpoint-detektion. Kommandostyrningskanaler använde legitima molntjänster, ofta vitlistade i känsliga nätverk. BeardShell gav full systemspaning, persistens genom injektion i Windows svchost.exe-processer och möjliggjorde laterell rörelse, utan diskbaserade artefakter förutom minnesspår från kodinjektion. NotDoor, utplacerad som en VBA-makro efter att ha inaktiverat Outlooks säkerhetskontroller, övervakade mappar som Inkorgen, Utkast, Skräppost och RSS-flöden. Den bundlade mejl i .msg-filer skickade till angriparkontrollerade konton på filen.io, sedan raderade dem med en anpassad 'AlreadyForwarded'-egenskap och 'DeleteAfterSubmit'-flagga för att undvika detektion i högrättighetskonton. «Användningen av CVE-2026-21509 visar hur snabbt statsallierade aktörer kan vapeniserade nya sårbarheter, krympande fönstret för försvarare att patcha kritiska system», skrev Trellix-forskare. Företaget tillskrev operationen till APT28—också spårad som Fancy Bear, Sednit, Forest Blizzard och Sofacy—med hög säkerhet, citerande tekniska indikatorer, mål och hantverk som flerstegs-malware och molntjänstmissbruk. Ukrainas CERT-UA kopplade det till UAC-0001, motsvarande APT28, känd för cyberespionage och påverkansoperationer. Trellix tillhandahöll kompromissindikatorer för organisationer att kontrollera infektioner.
