Hackers russos aproveitam falha do Microsoft Office para atacar Ucrânia e Polónia

Em tempo recorde, hackers ligados ao Estado russo exploraram uma vulnerabilidade crítica do Microsoft Office, conseguindo comprometer dispositivos em organizações diplomáticas, marítimas e de transportes em mais de meia dúzia de países, nomeadamente Ucrânia e Polónia.

Conforme avançado por investigadores, ontem, menos de 48 horas depois de a Microsoft ter lançado uma atualização de segurança urgente e não programada para o Office, no final do mês passado, um grupo de hackers explorou a vulnerabilidade.

Após aplicar engenharia inversa à correção, os membros do grupo, sob nomes como APT28, Fancy Bear, Sednit, Forest Blizzard e Sofacy, escreveram um exploit avançado que instalava um de dois backdoors nunca antes vistos.

Segundo os investigadores, toda a iniciativa foi concebida para tornar a invasão indetetável pelos sistemas de proteção de endpoints.

Além de serem inéditos, os exploits e os payloads estavam encriptados e executavam-se em memória, o que tornava difícil detetar o comportamento malicioso.

Segundo descrito, em última análise, a vulnerabilidade identificada pela Microsoft no Office podia levar à exposição ou alteração de dados sensíveis, falha do sistema ou execução de código arbitrário.

O vetor inicial teve origem em contas governamentais previamente comprometidas em vários países e era provavelmente familiar aos destinatários dos e-mails visados.

Além disso, os canais de comando e controlo estavam alojados em serviços legítimos de cloud que normalmente são permitidos dentro de redes sensíveis.

O uso do CVE-2026-21509 demonstra a rapidez com que atores alinhados com Estados conseguem transformar novas vulnerabilidades em armas, reduzindo a janela disponível para os defensores corrigirem sistemas críticos.

Escreveram os investigadores da empresa de segurança Trellix, explicando que "a cadeia modular de infeção da iniciativa, desde o phishing inicial até ao backdoor em memória e às implementações secundárias, foi cuidadosamente desenhada para tirar partido de canais de confiança (HTTPS para serviços cloud, fluxos legítimos de e-mail) e técnicas sem ficheiros, escondendo-se à vista de todos".

Aquando da invasão da Ucrânia pela Rússia, em 2022, a autoridade de cibersegurança ucraniana disse estar a travar uma guerra digital, além daquela que o país estava a enfrentar no terreno. Desde logo, a Ucrânia começou a ser vítima de ciberataques constantes que visavam o governo e as infraestruturas, com funcionários individuais a serem, também, um alvo.

Países da Europa de Leste terão sido os mais visados pelos hackers

A iniciativa de spear phishing, com duração de 72 horas, começou a 28 de janeiro e enviou pelo menos 29 e-mails distintos a organizações em nove países, sobretudo na Europa de Leste.

A Trellix identificou oito deles:

1. Polónia;
2. Eslovénia;
3. Turquia;
4. Grécia;
5. Emirados Árabes Unidos;
6. Ucrânia;
7. Roménia;
8. Bolívia.

As organizações visadas incluíam ministérios da Defesa (40%), operadores de transporte e logística (35%) e entidades diplomáticas (25%).

Com base em indicadores técnicos e nos alvos selecionados, a Trellix atribuiu a iniciativa ao grupo APT28 com "elevada confiança".

O APT28 tem um longo historial de ciberespionagem e operações de influência.

A sofisticação técnica desta iniciativa, com malware em várias fases, extensa ofuscação, abuso de serviços cloud e ataque a sistemas de e-mail para garantir reforço, reflete um adversário avançado e bem financiado, consistente com o perfil do APT28.

Escreveu a Trellix, conforme citado. Mais do que isso, "o conjunto de ferramentas e técnicas está, também, alinhado com a assinatura do APT28".

Entretanto, a empresa de segurança disponibilizou uma lista de indicadores que as organizações podem usar para determinar se foram alvo destes ataques.

Relatório da Trellix