Se cree que un actor de amenazas patrocinado por el estado vinculado a Rusia conocido como APT28 (también conocido como UAC-0001) aprovechó una falla de seguridad recientemente revelada en Microsoft Office como parte de una campaña con el nombre en código Operación Neusploit.
Zscaler ThreatLabz dijo que observó a un grupo de piratas informáticos aprovechando la falla en ataques dirigidos a usuarios en Ucrania, Eslovaquia y Rumania el 29 de enero de 2026, tres días después de que Microsoft revelara la existencia del error.
La vulnerabilidad en cuestión, CVE-2026-21509 (puntuación CVSS: 7,8), elude las funciones de seguridad de Microsoft Office que podría activar un atacante no autorizado al enviar un archivo de Office especialmente diseñado.
«Se crearon señuelos de ingeniería social tanto en inglés como en idiomas localizados (rumano, eslovaco, ucraniano) para apuntar a usuarios en los respectivos países», dijeron los investigadores de seguridad Sudeep Singh y Roy Tay. «Los atacantes emplearon técnicas de evasión del lado del servidor y respondieron con una DLL maliciosa sólo si la solicitud se originaba en la región geográfica objetivo y contenía el encabezado HTTP User-Agent correcto».
En pocas palabras, esta cadena de ataque utiliza un archivo RTF malicioso para explotar un agujero de seguridad y distribuir dos versiones diferentes del dropper. Uno está diseñado para eliminar un ladrón de correo electrónico de Outlook llamado MiniDoor, y el otro se llama PixyNetLoader y es responsable de implementar el implante Covenant Grunt.
El primer gotero actúa como un conducto para entregar la MiniDoor. MiniDoor es un archivo DLL basado en C++ que roba los correos electrónicos de los usuarios en varias carpetas (Bandeja de entrada, Basura, Borradores) y los reenvía a dos direcciones de correo electrónico de actores de amenazas codificadas: ahmeclaw2002@outlook(.)com y ahmeclaw@proton(.)yo. MiniDoor se considera una versión simplificada de NotDoor (también conocido como GONEPOSTAL), que fue documentado por S2 Grupo LAB52 en septiembre de 2025.
Por el contrario, el segundo dropper, PixyNetLoader, se utiliza para iniciar una cadena de ataque más compleja que implica entregar componentes integrados adicionales y configurar la persistencia en el host mediante el secuestro de objetos COM. La carga útil extraída incluye un cargador de código shell (‘EhStoreShell.dll’) y una imagen PNG (‘SplashScreen.png’).
La función principal del cargador es analizar y ejecutar código de shell oculto mediante esteganografía dentro de la imagen. Sin embargo, el cargador sólo activa su lógica maliciosa si la máquina infectada no es un entorno de análisis y el proceso host que lanzó la DLL es ‘explorer.exe’. Si no se cumplen las condiciones, el malware permanece inactivo.
El shellcode extraído se utiliza en última instancia para cargar el ensamblado .NET incorporado. No es más que un implante Grunt asociado con el marco de comando y control (C2) de código abierto .NET COVENANT. Vale la pena señalar que Sekoia destacó el uso de Grunt Stager por parte de APT28 en septiembre de 2025 en relación con una campaña llamada Operación Phantom Net Voxel.
«La cadena de infección de PixyNetLoader comparte una superposición significativa con la Operación Phantom Net Voxel», dijo Zscaler. «Las campañas anteriores usaban macros VBA, pero esta actividad las reemplaza con DLL y conserva técnicas similares, que incluyen (1) secuestro de COM para su ejecución, (2) proxies DLL, (3) técnicas de cifrado de cadenas XOR y (4) Covenant Grunt y su cargador de shellcode incrustado en PNG mediante esteganografía».
Esta divulgación coincide con un informe del Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), que también advirtió que APT28 estaba explotando CVE-2026-21509 mediante el uso de documentos de Word para apuntar a más de 60 direcciones de correo electrónico asociadas con las autoridades administrativas centrales del país. El análisis de metadatos reveló que uno de los documentos señuelo se creó el 27 de enero de 2026.
«Durante la investigación, se descubrió que cuando se abre un documento usando Microsoft Office, se establece una conexión de red a un recurso externo usando el protocolo WebDAV y se descarga un archivo con un nombre de archivo de acceso directo que contiene un código de programa diseñado para descargar y ejecutar un archivo ejecutable», dijo CERT-UA.
Esto desencadena la misma cadena de ataque que PixyNetLoader e introduce el implante Grunt del marco COVENANT.
Source link
