Gli hacker dello stato russo non hanno perso tempo a sfruttare una vulnerabilità critica in Microsoft Office che ha permesso loro di compromettere i dispositivi delle agenzie diplomatiche, marittime e di trasporto in più di una mezza dozzina di paesi, hanno detto mercoledì i ricercatori.
Il gruppo di minacce, rintracciato con nomi tra cui APT28, FancyBear, Sednet, ForestBlizzard e Sofacy, si è avventato sulla vulnerabilità, identificata come CVE-2026-21509, meno di 48 ore dopo che Microsoft ha rilasciato un’emergenza. Aggiornamenti di sicurezza non pianificati Alla fine del mese scorso, i ricercatori Dr. Dopo aver decodificato la patch, i membri del gruppo hanno scritto un exploit migliorato che ha installato uno dei due impianti backdoor mai visti prima.
Furtività, velocità e precisione
L’intera campagna è stata progettata per rendere il compromesso non rilevabile per la sicurezza degli endpoint. Oltre ad essere nuovi, gli exploit e i payload venivano crittografati ed eseguiti in memoria, rendendoli difficili da rilevare in modo dannoso. Il vettore di infezione iniziale proveniva da account governativi precedentemente compromessi in più paesi ed era probabilmente noto ai destinatari delle e-mail. I canali di comando e controllo erano ospitati su servizi cloud legittimi che in genere venivano autorizzati all’interno di reti sensibili.
“L’uso di CVE-2026-21509 mostra con quanta rapidità gli attori allineati allo stato possono sfruttare come armi nuove vulnerabilità, restringendo la finestra per i difensori per applicare patch ai sistemi critici”, i ricercatori, insieme alla società di sicurezza Trelix, ha scritto. “La catena di infezione modulare della campagna, dal phishing primario alla backdoor in memoria fino all’impianto secondario, è stata attentamente progettata per utilizzare canali non attendibili (da HTTPS a servizi cloud, flussi di posta elettronica legittimi) e tecniche fileless per nascondersi in bella vista.”
La campagna di spear phishing durata 72 ore è iniziata il 28 gennaio e ha inviato almeno 29 esche e-mail distinte ad organizzazioni principalmente in nove paesi dell’Europa orientale. Trelix ne nomina otto: Polonia, Slovenia, Turchia, Grecia, Emirati Arabi Uniti, Ucraina, Romania e Bolivia. Sono stati presi di mira i ministeri della difesa (40%), gli operatori dei trasporti/logistica (35%) e le agenzie diplomatiche (25%).
