Vulnerabilità di Microsoft Office CVE-2026-21509
L'autore della minaccia APT28, sponsorizzato da uno Stato e legato alla Russia, identificato anche come UAC-0001, è stato attribuito a una nuova ondata di attacchi informatici che sfruttano una vulnerabilità di Microsoft Office recentemente divulgata. L'attività è tracciata con il nome di campagna Operation Neusploit e rappresenta uno dei primi casi di sfruttamento in-the-wild dopo la divulgazione al pubblico.
I ricercatori di sicurezza hanno osservato il gruppo mentre sfruttava la falla come arma il 29 gennaio 2026, appena tre giorni dopo che Microsoft aveva rivelato la vulnerabilità, prendendo di mira utenti in Ucraina, Slovacchia e Romania.
Sommario
CVE-2026-21509: un bypass delle funzionalità di sicurezza con impatto reale
La vulnerabilità sfruttata, CVE-2026-21509, ha un punteggio CVSS di 7,8 e colpisce Microsoft Office. Classificata come un aggiramento delle funzionalità di sicurezza, la falla consente agli aggressori di distribuire un documento Office appositamente creato che può essere attivato senza la dovuta autorizzazione, aprendo la strada all'esecuzione di codice arbitrario come parte di una catena di attacchi più ampia.
Tattiche di evasione e ingegneria sociale specifiche per regione
La campagna si basava in larga misura su tecniche di social engineering personalizzate. I documenti esca sono stati redatti in inglese, rumeno, slovacco e ucraino per aumentare la credibilità tra gli obiettivi locali. L'infrastruttura di distribuzione è stata configurata con misure di elusione lato server, garantendo che i payload DLL dannosi venissero serviti solo quando le richieste provenivano dalle aree geografiche previste e includevano le intestazioni HTTP User-Agent previste.
Strategia Dual Dropper tramite file RTF dannosi
Al centro dell'operazione c'è l'utilizzo di documenti RTF dannosi per sfruttare la vulnerabilità CVE-2026-21509 e implementare uno dei due dropper, ciascuno dei quali supporta un diverso obiettivo operativo. Un dropper offre una funzionalità di furto di e-mail, mentre l'altro avvia un'intrusione più complessa e articolata in più fasi, che culmina nell'implementazione di un sistema di comando e controllo completo.
MiniDoor: furto mirato di e-mail di Outlook
Il primo dropper installa MiniDoor, una DLL basata su C++ progettata per raccogliere dati di posta elettronica dalle cartelle di Microsoft Outlook, tra cui Posta in arrivo, Posta indesiderata e Bozze. I messaggi rubati vengono esfiltrati in due account di posta elettronica hardcoded controllati dall'aggressore:
ahmeclaw2002@outlook[.]com e ahmeclaw@proton[.]me.
Si ritiene che MiniDoor sia un derivato leggero di NotDoor (noto anche come GONEPOSTAL), uno strumento precedentemente documentato nel settembre 2025.
PixyNetLoader e la catena di impianti Covenant
Il secondo dropper, noto come PixyNetLoader, facilita una sequenza di attacco significativamente più avanzata. Estrae i componenti incorporati e ne stabilisce la persistenza tramite il dirottamento degli oggetti COM. Tra i file estratti ci sono un caricatore di shellcode denominato EhStoreShell.dll e un'immagine PNG denominata SplashScreen.png.
Il ruolo del loader è estrarre lo shellcode nascosto nell'immagine tramite steganografia ed eseguirlo. Questa logica dannosa si attiva solo quando l'ambiente host non è identificato come sandbox di analisi e quando la DLL viene avviata da explorer.exe, altrimenti rimane inattiva per evitare il rilevamento.
Lo shellcode decodificato carica infine un assembly .NET incorporato: un impianto Grunt associato al framework di comando e controllo open source COVENANT. Il precedente utilizzo di Covenant Grunt da parte di APT28 era stato documentato nel settembre 2025 durante l'operazione Phantom Net Voxel.
Continuità tattica con Operation Phantom Net Voxel
Sebbene Operation Neusploit sostituisca il metodo di esecuzione delle macro VBA della campagna precedente con un approccio basato su DLL, le tecniche sottostanti rimangono sostanzialmente coerenti. Tra queste:
- Dirottamento COM per esecuzione e persistenza
- Meccanismi di proxy DLL
- Offuscamento delle stringhe basato su XOR
- Incorporamento steganografico di caricatori di shellcode e payload Covenant Grunt all'interno di immagini PNG
Questa continuità evidenzia la preferenza di APT28 per l'evoluzione di tecniche consolidate piuttosto che per l'adozione di strumenti completamente nuovi.
L’avviso CERT-UA conferma un targeting più ampio
La campagna ha coinciso con un avviso del Computer Emergency Response Team of Ukraine (CERT-UA), che segnalava che APT28 stava sfruttando la vulnerabilità CVE-2026-21509 tramite documenti Microsoft Word. L'attività ha preso di mira oltre 60 indirizzi email collegati alle autorità esecutive centrali in Ucraina. L'analisi dei metadati ha mostrato che almeno un documento esca è stato creato il 27 gennaio 2026, a ulteriore conferma della rapida operatività della vulnerabilità.
Consegna basata su WebDAV ed esecuzione del payload finale
L'analisi ha rivelato che l'apertura del documento dannoso in Microsoft Office attiva una connessione WebDAV a una risorsa esterna. Questa interazione scarica un file con un nome simile a un collegamento contenente codice di programma incorporato, che a sua volta recupera ed esegue un payload aggiuntivo.
Questo processo rispecchia in ultima analisi la catena di infezione di PixyNetLoader, portando all'implementazione dell'impianto Grunt del framework COVENANT e garantendo agli aggressori un accesso remoto persistente al sistema compromesso.
