Investigadores anunciaron el miércoles que hackers del estado ruso aprovecharon rápidamente una vulnerabilidad crítica de Microsoft Office para infiltrarse en dispositivos dentro de organizaciones diplomáticas, marítimas y de transporte en más de media docena de países.
El grupo de hackers conocido por nombres como APT28, Fancy Bear, Sednit, Forest Blizzard y Sofacy, explotó la vulnerabilidad identificada como CVE-2026-21509 menos de 48 horas después de que Microsoft emitiera una actualización de seguridad urgente el mes pasado. Después de ingeniería inversa del parche, el grupo desarrolló un exploit avanzado para desplegar dos implantes de puerta trasera previamente no vistos.
Sigilo, Velocidad y Precisión
La operación fue meticulosamente diseñada para evadir la detección por sistemas de protección de endpoints. Los exploits y cargas útiles fueron cifrados y ejecutados en memoria, haciéndolos difíciles de detectar. Las infecciones iniciales surgieron de cuentas gubernamentales previamente comprometidas que eran reconocibles para los destinatarios de los correos electrónicos atacados. Además, los canales de comando y control operaban a través de servicios en la nube legítimos típicamente permitidos dentro de redes sensibles.
Según investigadores de Trellix, el incidente destaca cuán rápidamente los actores alineados con el estado pueden aprovechar nuevas vulnerabilidades, reduciendo el tiempo que los defensores tienen para parchear sistemas críticos. Señalaron, "La cadena de infección modular de la campaña, desde el phishing inicial hasta el backdoor en la memoria hasta implantes secundarios, fue cuidadosamente diseñada para aprovechar canales confiables (HTTPS a servicios en la nube, flujos de correo electrónico legítimos) y técnicas sin archivos para esconderse a plena vista."
Comenzando el 28 de enero, la campaña de spear phishing de 72 horas distribuyó al menos 29 señuelos de correo electrónico distintos dirigidos a organizaciones en nueve países, principalmente en Europa del Este. Trellix identificó ocho países específicos: Polonia, Eslovenia, Turquía, Grecia, los Emiratos Árabes Unidos, Ucrania, Rumania y Bolivia. Las organizaciones afectadas incluyeron ministerios de defensa (40%), operadores de transporte/logística (35%) y entidades diplomáticas (25%).