Uma campanha de espionagem digital atribuída a hackers ligados ao governo da Rússia explorou uma falha crítica no Microsoft Office poucas horas após a Microsoft divulgar uma atualização emergencial de segurança. O ataque comprometeu sistemas utilizados por organizações diplomáticas, marítimas e de defesa em pelo menos nove países.
Segundo a empresa de cibersegurança Trellix, a ofensiva começou menos de 48 horas após a liberação do patch, reduzindo drasticamente o tempo de resposta das equipes de tecnologia da informação. A rapidez na exploração da vulnerabilidade permitiu o acesso a dispositivos considerados sensíveis em instituições estratégicas.
A falha, catalogada como CVE-2026-21509, foi explorada por um grupo conhecido por diferentes nomes, entre eles APT28, Fancy Bear, Sednit, Forest Blizzard e Sofacy. Após analisar a correção publicada pela Microsoft, os invasores desenvolveram um exploit capaz de instalar dois backdoors inéditos nos sistemas afetados.
De acordo com a Trellix, a operação foi planejada para burlar mecanismos tradicionais de segurança. Os códigos maliciosos eram criptografados, executados apenas na memória e não deixavam rastros relevantes nos discos. Além disso, os primeiros contatos com as vítimas partiram de contas governamentais previamente comprometidas, o que aumentou a eficácia das mensagens de phishing.
A campanha de spear phishing teve duração aproximada de 72 horas, com início em 28 de janeiro, e utilizou ao menos 29 iscas diferentes. A maioria dos alvos estava concentrada na Europa Oriental, incluindo organizações na Polônia, Eslovênia, Turquia, Grécia, Emirados Árabes Unidos, Ucrânia, Romênia e Bolívia.
O ataque resultou na instalação dos backdoors BeardShell e NotDoor. O BeardShell possibilitava o reconhecimento completo do sistema, a movimentação lateral nas redes e a persistência por meio da injeção de código em processos do Windows. Já o NotDoor operava como uma macro VBA, instalada após a desativação das proteções do Outlook, monitorando e coletando mensagens de e-mail e feeds RSS encaminhados aos servidores controlados pelos invasores.
A Trellix atribuiu a campanha ao grupo APT28 com alto grau de confiança. A avaliação foi reforçada pela Equipe de Resposta a Emergências Cibernéticas da Ucrânia (CERT-UA), que classifica o grupo como UAC-0001, conhecido por seu histórico de ações de espionagem cibernética e operações de influência.
