Йдеться про вразливість CVE-2026-21509, яка в обхід функції безпеки в Microsoft Office може дозволити неавторизованому зловмиснику надіслати спеціально створений файл Office та активувати його

Пов’язаний з Росією державний хакер під псевдонімом APT28 (також відомий як UAC-0001), був причетний до атак, що використовують нещодавно виявлену вразливість безпеки у Microsoft Office, в рамках кампанії під кодовою назвою Operation Neusploit. Зокрема, цю вразливість було використано як зброю 29 січня 2026 року в атаках, спрямованих на користувачів в Україні, Словаччині та Румунії, через три дні після того, як Microsoft публічно повідомила про це. Про це розповідає Foreign Ukraine із посиланням на The Hacker News.

Йдеться про вразливість CVE-2026-21509, яка в обхід функції безпеки в Microsoft Office може дозволити неавторизованому зловмиснику надіслати спеціально створений файл Office та активувати його.

Центр розвідки загроз Microsoft (MSTIC), Центр реагування на безпеку Microsoft (MSRC) та команда безпеки групи продуктів Office, а також Група розвідки загроз Google (GTIG), були відповідальними за виявлення та повідомлення про вразливість.

«Приманки соціальної інженерії були створені як англійською, так і локалізованими мовами (румунською, словацькою та українською), щоб націлитися на користувачів у відповідних країнах. Зловмисник використовував методи уникнення на стороні сервера, відповідаючи шкідливою DLL-бібліотекою лише тоді, коли запити надходили із цільового географічного регіону та містили правильний HTTP-заголовок User-Agent», – розповіли Судіп Сінгх та Рой Тей, дослідники із кібербезпеки.

Ланцюжки атак передбачають використання прогалини у безпеці за допомогою шкідливого RTF-файлу для доставки двох різних версій дроппера: одного, призначеного для встановлення крадіжки електронної пошти Outlook під назвою MiniDoor, та іншого, під назвою PixyNetLoader, який відповідає за розгортання імпланта COVENANT Grunt.

Перший дроппер діє як шлях для обслуговування MiniDoor, DLL-файлу на основі C++, який краде електронні листи користувача в різних папках (Вхідні, Спам та Чернетки) та пересилає їх на дві жорстко закодовані адреси електронної пошти зловмисників: ahmeclaw2002@outlook[.]com та ahmeclaw@proton[.]me. MiniDoor оцінюється як спрощена версія NotDoor (також відомого як GONEPOSTAL), що було задокументовано S2 Grupo LAB52 у вересні 2025 року.

На противагу цьому, другий дроппер, тобто PixyNetLoader, використовується для ініціювання набагато складнішого ланцюга атак, який включає доставку додаткових компонентів, вбудованих у нього, та налаштування персистентності на хості за допомогою захоплення COM-об’єктів. Серед вилучених корисних навантажень є завантажувач шелл-коду (EhStoreShell.dll) та зображення PNG (SplashScreen.png).

Основним обов’язком завантажувача є розбір шелл-коду, прихованого за допомогою стеганографії у зображенні, та його виконання. Тим не менш, завантажувач активує свою шкідливу логіку лише в тому випадку, якщо заражена машина не є середовищем аналізу, а хост-процес, який запустив DLL, є «explorer.exe». Шкідливе програмне забезпечення залишається у сплячому стані, якщо умови не виконуються.

Витягнутий шелл-код, зрештою, використовується для завантаження вбудованої збірки .NET, яка є не чим іншим, як імплантом Grunt, пов’язаним з командно-контрольною (C2) платформою .NET COVENANT з відкритим вихідним кодом.

Ланцюг зараження PixyNetLoader має помітний збіг з Operation Phantom Net Voxel. Хоча у попередній кампанії використовувався макрос VBA, ця активність замінює його на DLL, зберігаючи при цьому подібні методи, включаючи (1) захоплення COM для виконання, (2) проксування DLL, (3) методи шифрування рядків XOR та (4) Covenant Grunt та його завантажувач шелл-коду, вбудовані у PNG за допомогою стеганографії.

Розкриття інформації збігається зі звітом Команди реагування на комп’ютерні надзвичайні ситуації в Україні (CERT-UA), яка також попереджала про зловживання вразливістю CVE-2026-21509 з боку російського хакера APT28 шляхом використання документів Word для атаки на понад 60 адрес електронної пошти, пов’язаних із центральними органами виконавчої влади країни. Аналіз метаданих показує, що один із документів-приманок був створений 27 січня 2026 року.

«Під час розслідування було виявлено, що відкриття документа за допомогою Microsoft Office призводить до встановлення мережевого з’єднання із зовнішнім ресурсом за протоколом WebDAV, після чого завантажується файл із ярликом, що містить програмний код, призначений для завантаження та запуску виконуваного файлу», – йдеться у повідомленні CERT-UA.

Це, у свою чергу, запускає ланцюг атак, ідентичний PixyNetLoader, що призводить до розгортання імплантату Grunt фреймворку COVENANT.

У новому звіті, опублікованому 4 лютого 2026 року, Trellix повідомила, що спостерігала, як APT28 використовував Microsoft Office протягом одного дня після публічного розкриття інформації для атак на європейські військові та урядові установи, зокрема, на морські і транспортні організації у Польщі, Словенії, Туреччині, Греції, ОАЕ та Україні.

«Ця кампанія включає багатоетапний ланцюг зараження та нові корисні навантаження, включаючи простий початковий завантажувач, бекдор Outlook VBA (NotDoor) та спеціальний імплантат C++ під назвою «BEARDSHELL. Зловмисники зловживають легітимним хмарним сховищем (filen[.]io) як інфраструктурою командування та управління (C2), змішуючи шкідливий трафік зі звичайною активністю користувачів», — сказали дослідники з кібербезпеки Фам Дуй Фук та Алекс Ланштейн.

Варіацію саме цього ланцюга атак було детально описано у 2025 році як Командою реагування на комп’ютерні надзвичайні ситуації в Україні (CERT-UA), так і Sekoia.

У цих атаках фішингові електронні листи з геополітично зарядженими наративами, пов’язаними з транснаціональною контрабандою зброї, військовими навчальними програмами та метеорологічними бюлетенями про надзвичайні ситуації містять документи, що використовують CVE-2026-21509 одразу після їх відкриття, запускаючи виконання шкідливого коду без необхідності макросів чи взаємодії із користувачем.

Це включає завантаження ярлика Microsoft (LNK) та DLL під кодовою назвою SimpleLoader, який відповідає за видалення NotDoor або COVENANT Grunt Beacon, який потім зв’язується із кінцевою точкою filen[.]io для доставки бекдору BEARDSHELL.

«Весь ланцюжок розроблений для забезпечення відмовостійкості та обходу захисту, використовуючи зашифровані корисні навантаження, легітимні хмарні сервіси для управління та контролю, виконання в оперативній пам’яті та впровадження процесів для мінімізації слідів, які можуть бути виявлені. Цей багаторівневий підхід демонструє відточені навички APT28 у підтримці постійного доступу та обході виявлення у корпоративних середовищах», — підсумували у Trellix.