Attenzione: hacker russi stanno sfruttando una falla critica in Microsoft Office per diffondere malware. La soluzione rapida è aggiornare immediatamente Office e abilitare le protezioni antivirus.
Questa minaccia, nota come Operazione Neusploit, colpisce utenti in Europa centrale e orientale. I pirati informatici inviano email con allegati RTF truccati che, una volta aperti, installano backdoor pericolose senza avvisi visibili. Aggiorna Microsoft Office ora per bloccare l’attacco: vai su Impostazioni > Aggiornamento e sicurezza > Windows Update e installa le patch di emergenza rilasciate a gennaio 2026.
Il gruppo APT28, legato al governo russo, ha intensificato le sue attività cyber contro obiettivi strategici. Questa campagna rappresenta un’escalation significativa, con tecniche evasive che rendono difficile il rilevamento. Gli utenti privati e aziendali devono prestare attenzione a email sospette, soprattutto quelle in lingue locali come rumeno, slovacco o ucraino, che fingono di provenire da fonti ufficiali.
Meccanismo dell’attacco
Gli aggressori inviano messaggi socialmente ingegnerizzati con documenti RTF appositamente modificati. Quando la vittima apre il file, la vulnerabilità viene attivata in silenzio, permettendo l’esecuzione di codice arbitrario. Questo avvia una catena di infezione multi-stadio che porta all’installazione di malware persistente.
La campagna è stata individuata a inizio gennaio 2026, con exploit attivi già il 29 gennaio, solo tre giorni dopo la patch di emergenza di Microsoft. Gli analisti hanno collegato l’operazione ad APT28 grazie a somiglianze in strumenti, tattiche e procedure con attacchi precedenti.
Due varianti di dropper sono state osservate:
- La prima installa MiniDoor, un tool leggero per rubare email da Outlook tramite macro VBA. Monitora i login e invia i messaggi rubati a indirizzi controllati dagli hacker.
- La seconda, PixyNetLoader, prepara il terreno per l’impianto Covenant Grunt, che abilita il controllo remoto del sistema.
Per persistere, i malware modificano il registro di Windows, disabilitano protezioni di Outlook e si attivano automaticamente all’avvio.
Impatto e paesi colpiti
Gli obiettivi principali sono in Ucraina, Slovacchia e Romania, inclusi enti governativi e istituzioni UE. L’attacco sfrutta documenti tematici su consultazioni ufficiali, aumentando la credibilità. La vulnerabilità colpisce versioni multiple di Office: 2016, 2019, LTSC 2021, LTSC 2024 e Microsoft 365 Apps.
La falla, classificata critica, permette di aggirare le mitigazioni OLE, proteggendo da controlli COM/OLE vulnerabili. Il punteggio CVSS è 7.8, indicando alto rischio nonostante richieda interazione utente.
Consigli pratici per proteggersi:
- Non aprire allegati da mittenti sconosciuti.
- Usa software antivirus aggiornato con rilevamento comportamentale.
- Applica le patch Microsoft immediatamente.
- Per Office 2016/2019, modifica manualmente il registro come indicato nelle linee guida ufficiali.
- Riavvia le app Office dopo gli aggiornamenti.
Questa minaccia evidenzia la rapidità con cui gli attori statali weaponizzano le vulnerabilità: l’exploit è stato pronto entro 24-72 ore dalla divulgazione pubblica.
Approfondimento tecnico
Dettagli sulla vulnerabilità CVE-2026-21509
Tipo: Esecuzione remota di codice tramite bypass di feature di sicurezza.
Componente colpito: Gestore RTF di Microsoft Office.
Gravità: Critica (CVSS 7.8).
Data patch: 26 gennaio 2026.
La root cause risiede nella gestione errata di input non fidati durante decisioni di sicurezza. Un file Office malevolo aggira le mitigazioni OLE, progettate per bloccare controlli COM/OLE pericolosi. Non sfrutta il pannello di anteprima, ma richiede apertura completa del documento.
Catena di infezione dettagliata
- Fase iniziale: Email con RTF/DOC weaponizzato (es. “BULLETEN_H.doc” o “Consultation_Topics_Ukraine(Final).doc”). Metadata indicano creazione rapida post-divulgazione.
- Exploit trigger: Apertura attiva il gestore RTF, stabilendo connessioni WebDAV a server controllati dagli aggressori.
- Download payload: File shortcut (.lnk) scarica dropper.
- Dropper execution: Variante 1 -> MiniDoor (VBA macro ruba email, forward a C2 hardcoded, persiste via registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility).
- Variante 2: PixyNetLoader -> Covenant Grunt (C2 framework per shell interattive).
Evasione server-side: Payload consegnati solo da IP target (Ucraina/EU) con header HTTP corretti, complicando analisi.
Mitigazioni avanzate
- Registry fix per Office 2016/2019: Backup registry, esci da Office, naviga a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility (64-bit) o percorsi equivalenti, applica chiavi per disabilitare handler vulnerabili.
- Office 2021+: Protezione automatica side-service, richiede restart.
- Enterprise: Deploy via WSUS/GPO, monitora con EDR per WebDAV outbound.
- Indicatori: Domini registrati 30 gennaio 2026, protocolli WebDAV su porte non standard.
| Versione Office | Mitigazione automatica | Patch manuale richiesta |
|---|---|---|
| 2016 | No | Sì |
| 2019 | No | Sì |
| LTSC 2021 | Sì (restart) | No |
| LTSC 2024 | Sì (restart) | No |
| M365 Enterprise | Sì (restart) | No |
APT28 (aka Fancy Bear, Forest Blizzard, UAC-0001) opera per l’intelligence militare russa (GRU), con storia di exploit rapidi su Microsoft da 2022. La campagna usa TTP note: spear-phishing, macro abusate, C2 via framework come Covenant.
Previsioni: Con ritardi negli aggiornamenti enterprise, gli attacchi aumenteranno. Monitora CERT-UA e CISA KEV catalog per update (scadenza FCEB: 16 febbraio 2026).
Questa analisi integra osservazioni multiple per completezza. Resta vigile: la cyber minacce evolvono rapidamente.
Fonte: https://cybersecuritynews.com/apt28-hackers-exploiting-microsoft-office-0-day/
