El actor de amenazas patrocinado por el estado vinculado a Rusia conocido como APT 28 (también conocido como UAC-0001) se ha atribuido a ataques que aprovechan una falla de seguridad recientemente revelada en Microsoft Office como parte de una campaña con el nombre en código Operation Neusploit .
Zscaler ThreatLabz dijo observó que el grupo de hackers utilizaba como arma la deficiencia el 29 de enero de 2026, en ataques dirigidos a usuarios en Ucrania, Eslovaquia y Rumania, tres días después de que Microsoft revelara públicamente la existencia del error.
La vulnerabilidad en cuestión es CVE-2026-21509 (puntuación CVSS: 7,8), una función de seguridad de Microsoft Office que podría permitir a un atacante no autorizado enviar un archivo de Office especialmente diseñado y activarlo.
«Los señuelos de ingeniería social se diseñaron tanto en inglés como en idiomas localizados (rumano, eslovaco y ucraniano) para dirigirse a los usuarios de los respectivos países», dijeron los investigadores de seguridad Sudeep Singh y Roy Tay. «El autor de la amenaza empleó técnicas de evasión desde el servidor y respondió con la DLL malintencionada solo cuando las solicitudes procedían de la región geográfica objetivo e incluían el encabezado HTTP User-Agent correcto».
Las cadenas de ataque, en pocas palabras, implican la explotación del agujero de seguridad mediante un archivo RTF malicioso para entregar dos versiones diferentes de un cuentagotas, uno diseñado para eliminar un ladrón de correo electrónico de Outlook llamado Minipuerta , y otro, denominado Cargador Pixynet , responsable del despliegue de un implante Covenant Grunt.
El primer cuentagotas sirve de vía para publicar MiniDoor, un archivo DLL basado en C++ que roba los correos electrónicos de un usuario en varias carpetas (bandeja de entrada, correo basura y borradores) y los reenvía a dos direcciones de correo electrónico codificadas de actores de amenazas: ahmeclaw2002 @outlook [.] com y ahmeclaw @proton [.] me. Se considera que MiniDoor es una versión simplificada de No es una puerta (también conocido como GONEPOSTAL), que fue documentado por S2 Grupo LAB52 en septiembre de 2025.
Por el contrario, el segundo dropper, es decir, PixyNetLoader, se utiliza para iniciar una cadena de ataque mucho más elaborada que implica la entrega de componentes adicionales integrados en él y la configuración de la persistencia en el host mediante Secuestro de objetos COM . Entre las cargas útiles extraídas se encuentran un cargador de códigos de shell (» EhStoreShell.dll «) y una imagen PNG (» SplashScreen.png «).
La responsabilidad principal del cargador es analizar el código de shell oculto mediante esteganografía dentro de la imagen y ejecutarlo. Dicho esto, el cargador solo activa su lógica maliciosa si la máquina infectada no es un entorno de análisis y cuando el proceso anfitrión que lanzó la DLL es «explorer.exe». El malware permanece inactivo si no se cumplen las condiciones.
El código shell extraído, en última instancia, se usa para cargar un ensamblado de.NET integrado, que no es más que un implante Grunt asociado al marco de comando y control (C2) .NET COVENANT de código abierto. Vale la pena señalar que el uso del Grunt Stager por parte del APT28 fue resaltado de Sekoia en septiembre de 2025 en relación con una campaña llamada Operation Phantom Net Voxel.
«La cadena de infección de PixyNetLoader comparte una notable superposición con Operation Phantom Net Voxel», afirma Zscaler. «Aunque la campaña anterior utilizaba una macro de VBA, esta actividad la sustituye por una DLL, aunque conserva técnicas similares, como (1) el secuestro de COM para su ejecución, (2) el uso de proxy de DLL, (3) las técnicas de cifrado de cadenas XOR y (4) Covenant Grunt y su cargador de códigos de shell integrado en un PNG mediante esteganografía».
La divulgación coincide con un informe del Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en el que también se advertía del abuso por parte de APT28 del CVE-2026-21509 al utilizar documentos de Word para atacar a más de 60 direcciones de correo electrónico asociadas a las autoridades ejecutivas centrales del país. El análisis de los metadatos revela que uno de los documentos de señuelo se creó el 27 de enero de 2026.
«Durante la investigación, se descubrió que abrir el documento con Microsoft Office conduce al establecimiento de una conexión de red a un recurso externo mediante el protocolo WebDAV, seguido de la descarga de un archivo con un nombre de archivo abreviado que contiene un código de programa diseñado para descargar y ejecutar un archivo ejecutable», afirma CERT-UA.
Esto, a su vez, desencadena una cadena de ataque idéntica a la de PixyNetLoader, lo que resulta en el despliegue del implante Grunt del marco COVENANT.
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS