O grupo de ameaças patrocinado pelo Estado russo conhecido como APT28 (também chamado de UAC-0001) foi identificado explorando uma vulnerabilidade recém-divulgada no Microsoft Office em uma campanha chamada Operation Neusploit.
Pesquisadores do Zscaler ThreatLabz observaram a exploração da falha em 29 de janeiro de 2026, apenas três dias após a divulgação pública da vulnerabilidade pela Microsoft.
Os ataques tiveram como alvo usuários na Ucrânia, Eslováquia e Romênia.
A vulnerabilidade em questão é a
CVE-2026-21509
, com pontuação 7,8 na escala CVSS, que permite o bypass dos mecanismos de segurança do Microsoft Office.
Isso possibilita que um atacante envie um arquivo manipulado especialmente para executar código malicioso sem autorização.
Segundo os especialistas Sudeep Singh e Roy Tay, “lures de engenharia social foram elaborados em inglês e nos idiomas locais (romeno, eslovaco e ucraniano) para enganar usuários dos países-alvo”.
O grupo empregou técnicas de evasão no servidor, respondendo com a DLL maliciosa apenas quando a requisição originava-se de regiões geográficas específicas e incluía o cabeçalho HTTP User-Agent correto.
O método de ataque utiliza um arquivo RTF malicioso para explorar a vulnerabilidade.
Isso permite a entrega de dois tipos de droppers: um para instalar um stealer de e-mails do Outlook chamado MiniDoor e outro, o PixyNetLoader, que implanta o malware Covenant Grunt.
O primeiro dropper atua como um mecanismo para a entrega do MiniDoor, uma DLL em C++ que rouba e-mails das pastas Inbox, Junk e Drafts, enviando-os para dois endereços de e-mail hard-coded: ahmeclaw2002@outlook[.]com e ahmeclaw@proton[.]me.
O MiniDoor é uma versão simplificada do NotDoor (também conhecido como GONEPOSTAL), identificado pelo laboratório S2 Grupo LAB52 em setembro de 2025.
Já o segundo dropper, PixyNetLoader, inicia uma cadeia de ataque mais sofisticada, incluindo a instalação de vários componentes e criação de persistência por meio de COM object hijacking.
Os payloads extraídos incluem um loader de shellcode ("EhStoreShell.dll") e uma imagem PNG ("SplashScreen.png").
O loader decodifica o shellcode oculto por meio de esteganografia dentro da imagem e executa-o.
Ele só ativa o código malicioso caso o ambiente infectado não seja de análise e o processo que carregou a DLL seja o "explorer.exe".
Caso contrário, o malware permanece inativo.
O shellcode extraído carrega, em seguida, uma assembly .NET embutida, que corresponde ao implant Grunt do framework open source de comando e controle (C2) .NET COVENANT.
Vale destacar que o uso do Grunt Stager pelo APT28 foi mencionado pela Sekoia em setembro de 2025, em conexão com a campanha Operation Phantom Net Voxel.
Segundo o Zscaler, “a cadeia de infecção PixyNetLoader apresenta semelhanças marcantes com a Operation Phantom Net Voxel.
Embora a campanha anterior explorasse macros VBA, a atual substitui esse método por uma DLL, mantendo técnicas como (1) hijacking via COM para execução, (2) proxy de DLL, (3) criptografia XOR em strings e (4) uso do Covenant Grunt junto com seu loader de shellcode embutido em PNG por esteganografia”.
A divulgação da vulnerabilidade ocorre simultaneamente a um alerta do Computer Emergency Response Team da Ucrânia (CERT-UA), que identificou o abuso da
CVE-2026-21509
pelo APT28 com documentos Word para atacar mais de 60 endereços de e-mail ligados a autoridades executivas centrais do país.
A análise dos metadados revelou que, pelo menos, um desses documentos foi criado em 27 de janeiro de 2026.
Durante as investigações, o CERT-UA constatou que, ao abrir o arquivo no Microsoft Office, uma conexão é estabelecida via protocolo WebDAV para um recurso externo, seguida do download de um arquivo shortcut contendo código programado para executar um arquivo malicioso.
Essa sequência gera uma cadeia de ataque idêntica à do PixyNetLoader, culminando na implantação do implant Grunt do framework COVENANT.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...