El grupo de espionaje ruso APT28 explota una vulnerabilidad crítica en Microsoft Office para atacar Europa
Bajo la campaña denominada "Operación Neusploit", el grupo vinculado al Kremlin ha desplegado malware avanzado para el robo de correos electrónicos y el control remoto de sistemas en Ucrania, Eslovaquia y Rumania.
El grupo de amenazas avanzadas conocido como APT28 (también identificado como Fancy Bear o UAC-0001), vinculado a la inteligencia militar rusa, ha sido detectado explotando activamente una vulnerabilidad de seguridad recién descubierta en Microsoft Office. Según un informe publicado hoy por investigadores de Zscaler ThreatLabz, estos ataques forman parte de una ofensiva de ciberespionaje dirigida específicamente a usuarios en Ucrania, Eslovaquia y Rumania.
Explotación en tiempo récord
La vulnerabilidad, identificada como CVE-2026-21509 (con una puntuación de severidad CVSS de 7.8), es un fallo de omisión de funciones de seguridad que permite a un atacante ejecutar código malicioso mediante archivos de Office especialmente diseñados.
Lo que destaca en esta campaña es la rapidez de acción del grupo: APT28 comenzó a utilizar el exploit el pasado 29 de enero de 2026, apenas tres días después de que Microsoft hiciera pública la existencia del fallo.
Tácticas de evasión y "Operación Neusploit"
Los atacantes utilizaron señuelos de ingeniería social redactados en inglés y en los idiomas locales (rumano, eslovaco y ucraniano) para engañar a las víctimas. Para evitar ser detectados por firmas de seguridad globales, emplearon técnicas de evasión en el servidor: el servidor de comando solo entregaba el componente malicioso si la solicitud provenía de las regiones geográficas específicas y presentaba un encabezado de navegador (User-Agent) correcto.
Un arsenal de malware especializado
La cadena de ataque analizada por los investigadores emplea archivos RTF maliciosos para desplegar dos tipos de amenazas principales:
MiniDoor (Robo de correo): Una versión simplificada del malware "NotDoor". Este componente está diseñado específicamente para infiltrarse en Outlook, extraer correos de las carpetas de Bandeja de Entrada, Borradores y Correo no deseado, y reenviarlos a cuentas de correo controladas por los atacantes.
PixyNetLoader: Un cargador más complejo utilizado para desplegar el implante Covenant Grunt, una herramienta de post-explotación que permite a los atacantes mantener el control total del sistema comprometido y realizar movimientos laterales dentro de la red.
Recomendaciones
Expertos en ciberseguridad instan a las organizaciones, especialmente aquellas en sectores gubernamentales y de infraestructura crítica en Europa del Este, a aplicar de inmediato los parches de seguridad proporcionados por Microsoft para corregir la vulnerabilidad CVE-2026-21509.
Este incidente subraya la capacidad de los grupos patrocinados por estados para convertir rápidamente las vulnerabilidades recién publicadas en armas operativas, acortando drásticamente el tiempo de respuesta para los equipos de defensa.