APT28 utiliza una vulnerabilidad de un día en Office como arma de espionaje

El notorio grupo patrocinado por el estado ruso APT28 (también conocido como Fancy Bear) ha lanzado una nueva y sofisticada campaña de espionaje, atacando objetivos militares y gubernamentales europeos en apenas 24 horas después de que se revelara una importante vulnerabilidad de seguridad.

Un informe de Trellix detalla cómo el grupo utilizó como arma la vulnerabilidad CVE-2026-21509, un bypass de seguridad de Microsoft Office, para infiltrarse en organizaciones en Polonia, Ucrania y otras naciones alineadas con la OTAN.

Esta rápida militarización indica una evolución peligrosa en las tácticas del grupo, ya que combinan nuevos exploits con servicios legítimos en la nube para ocultar sus huellas. La velocidad de esta operación no tuvo precedentes. "Los atacantes utilizaron como arma un Microsoft Office CVE-2026-21509 recientemente revelado dentro de las 24 horas posteriores a su revelación pública", afirma el informe.

Utilizando un bombardeo de 72 horas de correos electrónicos de phishing, el grupo apuntó a los ministerios de defensa y operadores de logística con señuelos muy convincentes. No se trataba de spam genérico; eran narrativas cuidadosamente elaboradas sobre "alertas de contrabando transnacional de armas e invitaciones a programas de entrenamiento militar, diseñadas para engañar a los funcionarios para que abrieran los documentos maliciosos".

Una vez abierto, el documento activa el exploit automáticamente, sin necesidad de macros. La falla permite que "los objetos OLE incorporados se ejecuten aprovechando el protocolo WebDAV para recuperar cargas externas", descargando silenciosamente la siguiente etapa del ataque.

La infraestructura de APT28 también ha evolucionado. En lugar de depender únicamente de dominios sospechosos, el grupo está abusando de servicios legítimos de almacenamiento en la nube para mezclarse con el tráfico normal de la red. "Los actores de amenazas abusan del almacenamiento legítimo en la nube (filen[.]io) como infraestructura de comando y control (C2)", explica el informe.

El malware, un implante personalizado denominado BeardShell, se comunica con sus controladores cargando y descargando archivos de carpetas específicas en filen[.]io. Este tráfico está cifrado y se parece a un usuario que realiza una copia de seguridad de sus documentos, lo que hace que sea increíblemente difícil de detectar para los equipos de seguridad.

Paralelamente a la puerta trasera principal, algunas víctimas fueron atacadas con una herramienta especializada llamada NotDoor. Esto no está diseñado para controlar la computadora; está diseñado para espiarlo. NotDoor es una "puerta trasera centrada en Outlook diseñada para la recopilación de inteligencia de correo electrónico a largo plazo", según el análisis. Una vez instalado, desactiva las advertencias de seguridad de Outlook y configura un sistema de vigilancia. Reenvía silenciosamente correos electrónicos confidenciales (incluidos los de las carpetas Bandeja de entrada, Borradores y Basura) a una dirección controlada por el atacante.

NotDoor es una macro VBA para Outlook diseñada para monitorear los correos electrónicos entrantes en busca de una palabra desencadenante específica. Según el equipo de inteligencia de amenazas LAB52 de S2 Grupo. "Cuando se detecta un correo electrónico de este tipo, permite a un atacante filtrar datos, cargar archivos y ejecutar comandos en la computadora de la víctima".

Lo más importante es que se limpia solo. El malware marca los correos electrónicos procesados ​​con una propiedad personalizada 'AlreadyForwarded' y configura 'DeleteAfterSubmit = True' para purgar automáticamente los mensajes reenviados", asegurando que la víctima nunca vea la correspondencia robada saliendo de su bandeja de salida.

El enfoque de la campaña se alinea perfectamente con la larga historia de APT28 de apoyo a los intereses estratégicos rusos. Al combinar la velocidad de día cero con malware "sin archivos" y camuflaje basado en la nube, Fancy Bear ha demostrado una vez más por qué sigue siendo una de las amenazas más formidables en el panorama del ciberespionaje.

Fuente: SecurityOnline

Suscríbete a nuestro Boletín