Apt28 sfrutta CVE-2026-21509 in Microsoft Office: exploit mirati e spionaggio su Ucraina e Ue

Apt28 CVE-2026-21509 è il fulcro di una nuova campagna di spionaggio mirato condotta dal gruppo russo legato al Gru, noto anche come Fancy Bear, che nel gennaio 2026 ha dimostrato ancora una volta la propria capacità di weaponizzare vulnerabilità Office immediatamente dopo il rilascio delle patch. L’exploit colpisce Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 e Microsoft 365 Apps, consentendo esecuzione di codice remoto tramite file DOC e RTF distribuiti via email. L’operazione, documentata da Zscaler ThreatLabz e attribuita da Cert-Ua ad Apt28, mira a istituzioni governative ucraine e organizzazioni europee, con l’obiettivo di raccolta di intelligence politica e strategica.

CVE-2026-21509: la vulnerabilità Office sfruttata da Apt28

La vulnerabilità CVE-2026-21509 è classificata come bypass di una feature di sicurezza in Microsoft Office, con CVSS 7.8 e impatto elevato. Il difetto deriva da una validazione insufficiente dell’input durante il parsing dei documenti, che consente a file DOC o RTF appositamente costruiti di attivare connessioni esterne non autorizzate, aggirando parzialmente Protected View e riducendo l’efficacia dei sandbox di Office.

Il comportamento chiave dell’exploit è l’uso di WebDAV per il download di contenuti remoti: il documento malevolo, una volta aperto, innesca automaticamente una connessione verso server controllati dagli attaccanti, senza richiedere macro o interazioni avanzate. Questo rende l’exploit particolarmente efficace in ambienti enterprise, dove i flussi WebDAV sono spesso consentiti per compatibilità applicativa.

Microsoft ha rilasciato una patch di emergenza il 26 gennaio 2026, ma l’exploit resta efficace su sistemi non aggiornati e su ambienti in cui le mitigazioni alternative non sono state applicate.

🔴 OSSERVATORIO INTELLIGENCE: LIVE

La catena di exploit: dal documento DOC a Covenant Grunt

La catena di infezione utilizzata da Apt28 è progettata per essere rapida, silenziosa e resiliente all’analisi. Tutto inizia con un’email di phishing contenente un allegato DOC che sfrutta CVE-2026-21509. All’apertura, il documento stabilisce una connessione WebDAV verso un server remoto e scarica un componente iniziale mascherato come file legittimo.

Il payload iniziale avvia una fase di COM hijacking, installando una DLL malevola denominata EhStoreShell.dll, che viene caricata da un processo legittimo. Da qui, il codice estrae shellcode nascosto all’interno di un’immagine PNG, sfruttando tecniche di steganografia per eludere i controlli di sicurezza basati su contenuti.

Un elemento critico della catena è il controllo ambientale: il shellcode viene eseguito solo su macchine non virtuali, riducendo la probabilità di analisi automatica. Se le condizioni sono soddisfatte, il loader carica un assembly .NET che installa Covenant Grunt, il framework di comando e controllo scelto da Apt28 per questa campagna.

Malware utilizzati: MiniDoor, PixyNetLoader e Covenant

La campagna fa uso di più componenti malware, ciascuno con un ruolo specifico nella fase di spionaggio. MiniDoor è un dropper progettato per rubare email da Microsoft Outlook, inclusi i contenuti delle cartelle Inbox, Junk e Drafts. Il malware raccoglie le comunicazioni prima che vengano inviate o dopo la ricezione, offrendo ad Apt28 una visibilità diretta sulle interazioni delle vittime. I dati sottratti vengono inoltrati a indirizzi email controllati dagli attaccanti, inclusi account su provider cifrati.

PixyNetLoader è responsabile della persistenza e del caricamento dei payload successivi. Estrae codice malevolo dalla DLL EhStoreShell.dll e imposta meccanismi di riavvio sfruttando task apparentemente legittimi, come OneDriveHealth, forzando il riavvio di explorer.exe per garantire il caricamento continuo della DLL hijacked.

Il payload finale è Covenant Grunt, un framework open-source .NET ampiamente adattato da Apt28. Covenant consente shell remote, esecuzione di comandi, operazioni sui file, caricamento di moduli aggiuntivi e auto-rimozione. In questa campagna, il C2 è stato osservato su servizi di file sharing come filen.io, scelta che aiuta a mimetizzare il traffico all’interno di flussi apparentemente legittimi.

Targeting e lure: Ucraina e organizzazioni europee

Apt28 ha dimostrato una notevole attenzione al contesto geopolitico nella costruzione delle esche. Le email osservate superano le 60 unità indirizzate a autorità ucraine, impersonando il Centro Idrometeorologico Ucraino e facendo riferimento a documenti urgenti o consultazioni tecniche.

Parallelamente, il gruppo ha esteso gli attacchi a organizzazioni europee, in particolare in Slovacchia e Romania, utilizzando lure che simulano consultazioni Ue Coreper e altri processi istituzionali. I documenti sono localizzati in inglese, ucraino, rumeno e slovacco, con metadati aggiornati e date coerenti con eventi reali, aumentando la credibilità dell’attacco.

Il volume ridotto e la selezione geografica basata su geolocalizzazione e User-Agent indicano un’operazione di spionaggio mirato, non una campagna opportunistica.

Timeline: patch e weaponizzazione quasi immediata

La timeline dell’operazione evidenzia la rapidità operativa di Apt28. Microsoft rilascia la patch il 26 gennaio 2026. I documenti malevoli analizzati mostrano timestamp di creazione tra il 27 e il 29 gennaio 2026, indicando che il gruppo ha adattato e weaponizzato l’exploit in pochi giorni, probabilmente basandosi su exploit già testati in precedenza.

Cert-Ua e Zscaler collegano la campagna a operazioni precedenti come Operation Phantom Net Voxel e ad attività osservate nel 2025, dove Apt28 utilizzava Covenant, BeardShell e loader simili. Questo suggerisce un arsenale consolidato, aggiornato rapidamente per sfruttare nuove superfici di attacco.

Evasione e tecniche anti-analisi

L’operazione integra numerose tecniche di evasione avanzata. Il codice verifica l’ambiente di esecuzione per evitare sandbox e macchine virtuali. Il traffico C2 è cifrato e instradato su servizi legittimi. Il shellcode è offuscato e nascosto in immagini PNG, mentre le stringhe sono protette con XOR e hashing custom.

Apt28 utilizza anche verifiche server-side su User-Agent e geolocalizzazione, limitando la consegna del payload solo ai target previsti. Questo approccio riduce drasticamente la visibilità dell’attacco nei sistemi di monitoraggio globali.

Mitigazioni e raccomandazioni operative

La mitigazione primaria resta l’aggiornamento immediato di Microsoft Office su tutte le versioni colpite. Per i sistemi che non possono essere patchati immediatamente, Microsoft ha indicato registry mitigation alternative per limitare l’abuso di WebDAV.

Ulteriori misure includono l’uso rigoroso di Protected View per i file provenienti da Internet, il monitoraggio delle connessioni WebDAV, e il blocco dei domini e servizi utilizzati come C2, inclusi endpoint associati a filen.io quando non necessari. È consigliabile anche verificare task sospetti come OneDriveHealth, controllare explorer.exe per DLL caricate in modo anomalo e rafforzare la sicurezza delle caselle email con MFA e filtri anti-phishing avanzati.

Implicazioni strategiche

La campagna Apt28 basata su CVE-2026-21509 conferma un trend ormai chiaro: le vulnerabilità Office restano uno strumento privilegiato per le operazioni di spionaggio statale, soprattutto quando consentono execution senza macro e con interazioni minime dell’utente. La velocità con cui Apt28 ha adattato l’exploit dopo la patch dimostra una capacità industriale di sfruttamento delle superfici legacy, con impatti diretti sulla sicurezza delle istituzioni europee e ucraine.

Domande frequenti su Apt28 e CVE-2026-21509