Pesquisadores de segurança identificaram uma campanha de espionagem cibernética conduzida por hackers ligados ao governo da Rússia. A ofensiva explorou rapidamente uma falha crítica no Microsoft Office e teve início menos de 48 horas após a Microsoft liberar uma atualização emergencial para corrigir o problema.
O ataque resultou no comprometimento de dispositivos pertencentes a organizações diplomáticas, marítimas e de defesa em mais de meia dúzia de países. Segundo a Trellix, empresa de cibersegurança responsável pela descoberta, a velocidade da exploração reduziu drasticamente o tempo disponível para que equipes de TI aplicassem os patches e protegessem sistemas sensíveis.
Falha corrigida virou arma em menos de dois dias
A vulnerabilidade, catalogada como CVE-2026-21509, foi explorada pelo grupo rastreado sob diversos nomes, como APT28, Fancy Bear, Sednit, Forest Blizzard e Sofacy. Após analisar a correção liberada pela Microsoft, os invasores conseguiram desenvolver um exploit avançado capaz de instalar dois backdoors inéditos nos sistemas das vítimas.
De acordo com a Trellix, toda a operação foi cuidadosamente planejada para evitar a detecção por soluções tradicionais de proteção de endpoints. Os códigos maliciosos eram criptografados, executados exclusivamente na memória e não deixavam artefatos relevantes no disco, dificultando significativamente a análise forense. Além disso, os primeiros contatos com as vítimas partiram de contas governamentais previamente comprometidas, o que aumentou consideravelmente a taxa de sucesso das mensagens de phishing.
“O uso da CVE-2026-21509 demonstra a rapidez com que agentes alinhados a estados podem explorar novas vulnerabilidades, reduzindo a janela de tempo para que os defensores corrijam sistemas críticos”, afirmaram os pesquisadores.
“A cadeia de infecção modular da campanha — do phishing inicial ao backdoor em memória e aos implantes secundários — foi cuidadosamente projetada para explorar canais confiáveis e técnicas sem arquivos, permitindo que o ataque permanecesse praticamente invisível.”
A campanha de spear phishing durou cerca de 72 horas, teve início em 28 de janeiro e utilizou ao menos 29 iscas diferentes, enviadas a organizações em nove países, principalmente da Europa Oriental. Oito desses países foram divulgados:
- Polônia
- Eslovênia
- Turquia
- Grécia
- Emirados Árabes Unidos
- Ucrânia
- Romênia
- Bolívia
Como funcionavam os malwares instalados?
O ataque resultou na instalação de dois backdoors distintos, identificados como BeardShell e NotDoor. O BeardShell permitia o reconhecimento completo do sistema infectado, garantindo persistência por meio da injeção de código em processos do Windows e facilitando a movimentação lateral dentro das redes comprometidas.
Já o NotDoor operava como uma macro VBA — um tipo comum de script para automação de tarefas — utilizada, nesse caso, como um comando malicioso oculto, instalado após o desarme das proteções de macro do Outlook.
Uma vez ativo, o NotDoor monitorava pastas de e-mail e feeds RSS, reunindo mensagens em arquivos no formato .msg, que eram enviados para contas controladas pelos invasores em serviços de nuvem. Para driblar mecanismos de segurança, o malware alterava propriedades internas dos e-mails e apagava vestígios do encaminhamento automático, dificultando a identificação do vazamento de informações.
A Trellix atribuiu a campanha ao grupo APT28 com “alta confiança”, avaliação reforçada pela Equipe de Resposta a Emergências Cibernéticas da Ucrânia (CERT-UA), que classifica o mesmo grupo como UAC-0001. “A APT28 tem um longo histórico de espionagem cibernética e operações de influência”, destacou a empresa.
O caso reforça a importância de aplicar atualizações de segurança com a maior rapidez possível, especialmente em ambientes corporativos e governamentais. A exploração quase imediata da falha do Office demonstra que agentes de ameaça altamente capacitados monitoram constantemente correções divulgadas por grandes fornecedores, transformando vulnerabilidades recém-descobertas em vetores de ataque em questão de horas.
