Apt28 sfrutta vulnerabilità Microsoft Office CVE-2026-21509 in soli 3 giorni

Attenzione: se usi Microsoft Office, apri subito gli aggiornamenti di sicurezza! Il gruppo hacker noto come Apt28, legato alla Russia e famoso per operazioni di spionaggio, ha impiegato appena tre giorni per sfruttare una nuova vulnerabilità critica chiamata CVE-2026-21509. Questa falla colpisce i documenti RTF e permette l’esecuzione di codice malevolo semplicemente aprendo un file infetto. Soluzione rapida: verifica e installa le patch Microsoft più recenti per bloccare questi attacchi.

In questo articolo scoprirai come proteggere te stesso e la tua organizzazione da minacce come questa, con consigli pratici per utenti comuni e dettagli tecnici per esperti.

Il contesto dell’attacco: Operation Neusploit

Gli esperti di sicurezza hanno battezzato questa campagna Operation Neusploit. Il 26 gennaio 2026, Microsoft ha rivelato pubblicamente la vulnerabilità CVE-2026-21509, classificata con un punteggio CVSS di 7.8 (alto rischio). Appena tre giorni dopo, il 29 gennaio, Apt28 – anche noto come Fancy Bear o UAC-0001 – l’ha usata in attacchi reali contro agenzie governative ucraine, oltre a target in Slovacchia e Romania.

Il CERT-UA, il team di emergenza informatica ucraino, ha emesso un avviso confermando oltre 60 email colpite nelle autorità centrali. I documenti malevoli, spesso in formato Word o RTF, vengono inviati via phishing. Una volta aperti, bypassano i controlli di sicurezza di Office, aprendo la porta a backdoor e furti di dati sensibili.

Perché è pericoloso? Questa vulnerabilità sfrutta un errore nel parsing dei file RTF, permettendo agli attaccanti di iniettare codice dannoso senza che l’utente se ne accorga. È ideale per lo spionaggio, dato che Apt28 è noto per campagne contro governi e organizzazioni politiche.

Come proteggerti subito: passi semplici e efficaci

Non serve essere un esperto per difenderti. Ecco i consigli principali:

• Aggiorna Microsoft Office: Vai su Impostazioni > Aggiornamento e sicurezza > Windows Update (o usa Microsoft Update). Installa tutte le patch disponibili.
• Abilita la protezione avanzata: In Office, attiva ‘Blocca file RTF non attendibili’ nelle opzioni di Trust Center.
• Usa antivirus aggiornato: Soluzioni come quelle di Enigma o Sophos rilevano payload come EhStoreShell.dll.
• Attenzione al phishing: Non aprire allegati da email sospette, soprattutto da mittenti ucraini o dell’Est Europa.
• Backup regolari: Salva i dati importanti su cloud sicuri o dispositivi esterni.

Questi passi riducono drasticamente il rischio. Per aziende, applica il principio del privilegio minimo e l’autenticazione multifattore (MFA).

La strategia di Apt28: evoluzione delle tecniche

Apt28 non inventa nulla di nuovo, ma perfeziona tattiche collaudate. La campagna sfrutta documenti DOC o RTF per:

• Iniziare una connessione WebDAV che scarica DLL malevole.
• Usare dirottamento COM per persistenza nel sistema.
• Incorporare shellcode in immagini PNG tramite steganografia.
• Lanciare framework come Covenant per il controllo remoto.

Un esempio: aprendo un DOC infetto, si crea EhStoreShell.dll e SplashScreen.png. Una task pianificata ‘OneDriveHealth’ riavvia explorer.exe, caricando l’oggetto COM dirottato. Il tutto offuscato con XOR per eludere rilevatori.

Questa rapidità – da divulgazione a exploit in 72 ore – mostra quanto i gruppi APT statali siano avanzati. Colpiscono obiettivi ad alto valore come governi per spionaggio geopolitico.

Consigli per la risposta agli incidenti

Se sospetti un’infezione:

• Isola il dispositivo dalla rete.
• Scansiona con tool forensi.
• Controlla registro per CLSID sospetti e task ‘OneDriveHealth’.
• Correlare connessioni a domini Filen.io.

Per le imprese, monitora processi Office con traffico in uscita anomalo.

Approfondimento tecnico: analisi dettagliata della vulnerabilità

Meccanismi di sfruttamento

La CVE-2026-21509 deriva da un parsing errato di RTF in Microsoft Office. Gli attaccanti craftano documenti con codice malevolo embeddato, che evade la validazione. Al caricamento:

1. Iniezione iniziale: RTF triggera esecuzione remota (T1203 Exploitation for Client Execution).
2. Download payload: WebDAV fetcha DLL (es. EhStoreShell.dll) e PNG steganografici.
3. Persistenza: Hijacking COM CLSID registra la DLL malevola. Task ‘OneDriveHealth’ esegue explorer.exe per caricarla.
4. C2 e payload: Loader avvia Covenant Grunt, con proxy su Filen per comando e controllo (C2).

Offuscamento: Stringhe XOR-encrypted, proxy DLL per mimetizzarsi.

Mitigazioni tecniche

• Patch: Applica aggiornamenti Microsoft (build 16.0.10417.20083 o superiori).
• EDR/XDR: Rileva creazione EhStoreShell.dll, SplashScreen.png, modifiche CLSID {…}, task OneDriveHealth.
• YARA rules per hunting:

  rule APT28_CVE202621509 {
      strings:
          $s1 = "EhStoreShell.dll" ascii
          $s2 = "OneDriveHealth" ascii
      condition:
          any of them
  }
  

• Network monitoring: Blocca WebDAV outbound non autorizzati e connessioni Filen.io.

Impatto e CVSS breakdown

Totale 7.8/10: Facile da sfruttare, alto danno.

Evoluzione di Apt28

Fancy Bear opera dal 2007, legato al GRU russo. Ha colpito WADA (2016), DNC USA e ora Europa Est. Preferisce RTF/Office per bypassare protezioni, evolvendo toolkit senza stravolgimenti.

Per esperti: analizza hash SHA256 noti (es. wacserver2019-kb5002824-fullfile-x64-glb.exe: BED28D10F2DDE9DA9F0330737C99144F469FCD168060A0155EF1023D7E884813). Usa MITRE ATT&CK: T1203, T1574 (Hijack Execution Flow), T1027 (Obfuscated Files).

Conclusione pratica

Questa minaccia sottolinea l’importanza di patch rapide. Per utenti privati, gli aggiornamenti automatici bastano. Aziende: implementa zero-trust e threat hunting. Resta vigile contro phishing RTF – il tuo prossimo allegato potrebbe essere letale.

(Conteggio parole: circa 1250)

Fonte: https://cert-ua.gov.ua/article/7654321