Microsoft Office a fost din nou în centrul unei campanii de spionaj cibernetic atribuite unui actor statal, după ce cercetători în securitate au raportat că gruparea rusă APT28 a exploatat o vulnerabilitate critică la mai puțin de 48 de ore de la publicarea unui patch de urgență de către Microsoft. Atacurile au vizat organizații din zona diplomatică, maritimă și transport, în mai multe țări, cu o concentrare puternică în Europa de Est.
Ce este CVE-2026-21509 și de ce a fost important patch-ul „out-of-band”
Vulnerabilitatea, urmărită ca CVE-2026-21509, este descrisă ca un „security feature bypass” în Microsoft Office, iar Microsoft a distribuit un update neschedulat (out-of-band) la finalul lunii ianuarie 2026, pe fondul semnalelor că problema este exploatată activ.
În astfel de cazuri, fereastra dintre apariția patch-ului și apariția exploit-urilor funcționale tinde să fie extrem de mică, pentru că actorii avansați pot face reverse engineering pe actualizări pentru a identifica exact ce a fost reparat și cum poate fi ocolit în sisteme nepătchuite. Trellix subliniază tocmai această accelerare a ciclului „patch → weaponization” în cazul de față.
Cine este APT28 și ce ținte a urmărit
Campania este atribuită cu „high confidence” grupării APT28 (cunoscută și ca Fancy Bear / Sednit / Sofacy / Forest Blizzard), o entitate asociată frecvent cu operațiuni de spionaj cibernetic.
Potrivit Trellix, atacul s-a desfășurat ca un val de spear phishing concentrat într-o fereastră de aproximativ 72 de ore, începând cu 28 ianuarie, folosind momele de email adaptate țintelor. Organizațiile vizate au inclus structuri guvernamentale și entități din apărare, transport/logistică și zona diplomatică, în țări precum Polonia, Slovenia, Turcia, Grecia, Emiratele Arabe Unite, Ucraina, România și Bolivia.
Cum a arătat lanțul de infectare
Analiza Trellix descrie un lanț de infectare proiectat pentru discreție: exploatarea inițială, încărcări criptate și execuție „fileless” (în memorie), plus comunicare de tip command-and-control plasată în servicii cloud legitime, care pot fi deja acceptate (allow-listed) în rețele sensibile. Scopul a fost reducerea șanselor de detecție de către soluțiile endpoint și de către controalele de rețea.
În final, cercetătorii menționează două backdoor-uri noi, denumite BeardShell și NotDoor, folosite pentru persistență, colectare de informații și mișcare laterală. În cazul NotDoor, Trellix descrie și abuzarea fluxurilor de email din Outlook și mecanisme de ștergere/ascundere a urmelor în folderele trimise, ceea ce crește dificultatea investigațiilor post-incident.
Confirmări și alerte suplimentare: CERT-UA și autorități din regiune
În Ucraina, CERT-UA a atribuit atacurile grupării UAC-0001, un nume de urmărire asociat cu APT28, și a semnalat folosirea documentelor malițioase livrate prin email către adrese guvernamentale. În România, DNSC a publicat o alertă privind CVE-2026-21509, recomandând aplicarea urgentă a actualizărilor pentru versiunile afectate.
Ce ar trebui să facă organizațiile acum
Fără a intra în detalii tehnice care pot ajuta abuzul, concluzia comună din alertele publice și din analiza Trellix este una simplă: patch-ul trebuie aplicat cât mai rapid, iar organizațiile ar trebui să trateze emailul ca pe o zonă de risc major în următoarele săptămâni, inclusiv prin măsuri de control și monitorizare suplimentară.
Pentru o abordare practică, minimă, care reduce expunerea:
- aplicați actualizările Office și validați că sunt active pe stațiile critice și pe utilizatorii cu privilegii ridicate;
- revizuiți regulile de filtrare pentru atașamente și tipuri de fișiere asociate documentelor Office;
- impuneți politici mai stricte pentru macro-uri și pentru executarea conținutului activ, acolo unde fluxul de lucru permite;
- monitorizați creșteri bruște de tentative de autentificare, procese Outlook/Office cu comportament anormal și conexiuni către servicii cloud neobișnuite pentru profilul organizației;
- dacă există suspiciuni, corelați rapid alertele interne cu indicatorii publicați de furnizorii de securitate (Trellix a indicat că a oferit o listă de indicatori pentru detecție).
De ce acest episod contează, dincolo de un singur CVE
Cazul CVE-2026-21509 arată, încă o dată, cât de scurtă a devenit fereastra de reacție pentru organizațiile vizate de actori statali: publicarea unui patch nu înseamnă automat protecție, dacă distribuția și aplicarea lui nu sunt rapide și verificabile. În același timp, campaniile orientate pe email, cu execuție în memorie și infrastructură de control mascată în servicii legitime, rămân un model eficient pentru spionaj, mai ales în medii în care blocarea completă a anumitor fluxuri nu este realistă.
