Hackers vinculados al gobierno ruso explotaron rápidamente una vulnerabilidad crítica en Microsoft Office, comprometiendo dispositivos dentro de organizaciones diplomáticas, marítimas y de transporte en más de media docena de países, según investigadores que dieron a conocer la información este miércoles.
El grupo de amenazas, rastreado bajo nombres como APT28, Fancy Bear, Sednit, Forest Blizzard y Sofacy, actuó sobre la vulnerabilidad, identificada como CVE-2026-21509, menos de 48 horas después de que Microsoft publicara una urgente actualización de seguridad no programada a finales del mes pasado, indicaron los investigadores. Tras la ingeniería inversa del parche, los miembros del grupo desarrollaron un exploit avanzado que instaló uno de dos implantes de puerta trasera nunca antes vistos.
Sigilo, velocidad y precisión
Toda la campaña fue diseñada para que el compromiso fuera indetectable para la protección de los puntos finales. Además de ser novedosos, los exploits y las cargas útiles estaban encriptados y se ejecutaban en memoria, lo que dificultaba la detección de su naturaleza maliciosa. El vector de infección inicial provino de cuentas gubernamentales previamente comprometidas de múltiples países y probablemente eran familiares para los destinatarios de los correos electrónicos dirigidos. Los canales de comando y control se alojaron en servicios en la nube legítimos que normalmente están permitidos en redes sensibles.
“El uso de CVE-2026-21509 demuestra la rapidez con la que los actores alineados con el estado pueden convertir las nuevas vulnerabilidades en armas, reduciendo la ventana de tiempo para que los defensores parcheen los sistemas críticos”, escribieron los investigadores de la firma de seguridad Trellix. “La cadena de infección modular de la campaña, desde el phishing inicial hasta la puerta trasera en memoria y los implantes secundarios, fue cuidadosamente diseñada para aprovechar los canales de confianza (HTTPS a servicios en la nube, flujos de correo electrónico legítimos) y las técnicas sin archivos para ocultarse a plena vista.”
La campaña de phishing dirigida, que duró 72 horas, comenzó el 28 de enero y entregó al menos 29 señuelos de correo electrónico distintos a organizaciones en nueve países, principalmente en Europa del Este. Trellix nombró a ocho de ellos: Polonia, Eslovenia, Turquía, Grecia, los Emiratos Árabes Unidos, Ucrania, Rumanía y Bolivia. Las organizaciones objetivo fueron ministerios de defensa (40 por ciento), operadores de transporte y logística (35 por ciento) y entidades diplomáticas (25 por ciento).
