Atacantes vinculados a Rusia ya están explotando una vulnerabilidad de día cero en Microsoft Office, mientras que el equipo nacional de defensa cibernética de Ucrania advierte que el mismo fallo se está utilizando para atacar a agencias gubernamentales dentro del país y a organizaciones en toda la Unión Europea.
En una alerta publicada el domingo, CERT-UA indica que la actividad está siendo impulsada por UAC-0001, más conocido como “APT28” o “Fancy Bear”, y se basa en CVE-2026-21509, un fallo de omisión de función de seguridad en Microsoft Office que Microsoft reveló la semana pasada junto con una advertencia de que los atacantes ya lo estaban explotando en la naturaleza.
Según CERT-UA, el primer documento weaponizado apareció pocos días después de que Microsoft alertara sobre el fallo. Un archivo titulado “Consultation_Topics_Ukraine(Final).doc” apareció públicamente el 29 de enero y estaba temáticamente relacionado con las discusiones de la UE sobre Ucrania. Los metadatos del archivo muestran que fue creado el 27 de enero, el día después de que Microsoft publicara los detalles del fallo, un tiempo de respuesta que sugiere que la cadena de explotación ya estaba preparada y esperando.
El mismo día, los equipos de respuesta a incidentes ucranianos fueron alertados sobre una campaña de phishing paralela que suplantaba la correspondencia oficial del Centro Hidrometeorológico de Ucrania. Más de 60 destinatarios, principalmente de organismos centrales del gobierno, recibieron correos electrónicos con un archivo DOC malicioso adjunto. Abrir el archivo en Office inicia silenciosamente una conexión WebDAV a un servidor externo, descarga un archivo de acceso directo y lo utiliza como plataforma de lanzamiento para un software malicioso adicional.
A partir de ahí, los atacantes dejan caer una DLL que se hace pasar por un componente legítimo de Windows y almacenan shellcode dentro de un archivo de imagen aparentemente inofensivo. Luego establecen persistencia a través de la manipulación de COM y una tarea programada que reinicia explorer.exe, asegurando que el código malicioso se vuelva a cargar. La mayoría de los usuarios no notarían nada fuera de lo común, pero los atacantes ahora tienen un punto de apoyo al que pueden regresar.
El resultado final es el despliegue del marco de post-explotación COVENANT, y los atacantes enrutan su tráfico a través de un servicio legítimo de almacenamiento en la nube, lo que ayuda a que se mezcle con el ruido cotidiano en lugar de algo obviamente hostil. CERT-UA ha aconsejado a los defensores que monitoreen de cerca el tráfico relacionado con Filen o que lo bloqueen por completo cuando sea posible.
La campaña no se ha limitado a Ucrania. A finales de enero, CERT-UA identificó tres documentos maliciosos más que utilizan la misma cadena de explotación y que se dirigen a organizaciones de los Estados miembros de la UE. En un caso, el dominio que servía la carga útil se registró el mismo día en que se utilizó, lo que subraya la rapidez con la que los atacantes están cambiando de infraestructura.
Microsoft ahora ha publicado parches, incluso para versiones anteriores de Office que inicialmente quedaron en un limbo, pero CERT-UA aún no es optimista sobre la rapidez con la que se aplicarán.
“Es evidente que, en un futuro próximo, incluso debido a la inercia del proceso o a la imposibilidad de que los usuarios actualicen la suite de Microsoft Office y/o utilicen mecanismos de protección recomendados, el número de ciberataques que utilizan la vulnerabilidad descrita comenzará a aumentar”, advirtió CERT-UA. ®
