Pesquisadores de segurança identificaram uma campanha de espionagem cibernética que teria sido conduzida por hackers Russos ligados ao governo.
Campanha de espionagem aproveitou vulnerabilidade no Microsoft Office
A ofensiva explorou rapidamente uma falha crítica no Microsoft Office, começando menos de 48 horas após a Microsoft liberar uma atualização emergencial para corrigir o problema.
Adicionalmente, o ataque permitiu o comprometimento de dispositivos usados por organizações diplomáticas, marítimas e de defesa em mais de meia dúzia de países. Segundo a Trellix, empresa de cibersegurança, a velocidade da exploração reduziu drasticamente o tempo disponível para que equipes de TI aplicassem os patches e protegessem sistemas sensíveis.
Vulnerabilidade explorada horas após correção da Microsoft
A vulnerabilidade, catalogada como CVE-2026-21509, foi explorada pelo grupo rastreado sob nomes como APT28, Fancy Bear, Sednit, Forest Blizzard e Sofacy. Após analisar a correção liberada pela Microsoft, os invasores desenvolveram um exploit avançado capaz de instalar dois backdoors inéditos.
Com efeito, toda a operação foi planejada para evitar a detecção por soluções tradicionais de proteção de endpoints, de acordo com a Trellix. Os códigos maliciosos eram criptografados, executados apenas na memória e não deixavam artefatos relevantes em disco.
Além disso, os primeiros contatos com as vítimas partiram de contas governamentais previamente comprometidas. Esta tática aumentou significativamente a taxa de sucesso das mensagens de phishing enviadas aos alvos.
Escopo e duração da campanha de ataques
A campanha de spear phishing durou cerca de 72 horas, iniciando-se em 28 de janeiro. Utilizou ao menos 29 iscas diferentes, enviadas a organizações em nove países, principalmente da Europa Oriental.
Os países divulgados incluem:
- Polônia
- Eslovênia
- Turquia
- Grécia
- Emirados Árabes Unidos
- Ucrânia
- Romênia
- Bolívia
Detalhes dos malwares BeardShell e NotDoor pelos Hackers russos
O ataque resultou na instalação dos backdoors BeardShell e NotDoor. O BeardShell permitia reconhecimento completo do sistema, persistência por meio da injeção de código em processos do Windows e movimentação lateral dentro das redes comprometidas.
Em seguida, o NotDoor operava como uma macro VBA, um script de automação de tarefas. Ele era instalado após o desarme das proteções de macro do Outlook pelos usuários. Uma vez ativo, o NotDoor monitorava pastas de e-mail e feeds RSS.
Dessa forma, este malware reunia mensagens em arquivos .msg, enviando-as para contas controladas pelos invasores em serviços de nuvem. Para driblar controles de segurança, o NotDoor alterava propriedades internas dos e-mails e apagava vestígios do encaminhamento automático.
Atribuição da campanha ao grupo APT28
A Trellix atribuiu a campanha ao grupo APT28 com “alta confiança”, avaliação reforçada pela Equipe de Resposta a Emergências Cibernéticas da Ucrânia (CERT-UA). Esta equipe classifica o mesmo grupo como UAC-0001.
Portanto, o APT28 possui um longo histórico de espionagem cibernética e operações de influência, conforme afirmou a empresa de segurança. A rápida exploração da vulnerabilidade demonstra a agilidade desses agentes em capitalizar novas falhas.
