Em tempo recorde, hackers ligados ao Estado russo exploraram uma vulnerabilidade crítica do Microsoft Office, conseguindo comprometer dispositivos em organizações diplomáticas, marítimas e de transportes em mais de meia dúzia de países, nomeadamente Ucrânia e Polónia.

Conforme avançado por investigadores, ontem, menos de 48 horas depois de a Microsoft ter lançado uma atualização de segurança urgente e não programada para o Office, no final do mês passado, um grupo de hackers explorou a vulnerabilidade.

Após aplicar engenharia inversa à correção, os membros do grupo, sob nomes como APT28, Fancy Bear, Sednit, Forest Blizzard e Sofacy, escreveram um exploit avançado que instalava um de dois backdoors nunca antes vistos.

Segundo os investigadores, toda a iniciativa foi concebida para tornar a invasão indetetável pelos sistemas de proteção de endpoints.

Além de serem inéditos, os exploits e os payloads estavam encriptados e executavam-se em memória, o que tornava difícil detetar o comportamento malicioso.

O vetor inicial teve origem em contas governamentais previamente comprometidas em vários países e era provavelmente familiar aos destinatários dos e-mails visados.

Além disso, os canais de comando e controlo estavam alojados em serviços legítimos de cloud que normalmente são permitidos dentro de redes sensíveis.

O uso do CVE-2026-21509 demonstra a rapidez com que atores alinhados com Estados conseguem transformar novas vulnerabilidades em armas, reduzindo a janela disponível para os defensores corrigirem sistemas críticos.

Escreveram os investigadores da empresa de segurança Trellix, explicando que "a cadeia modular de infeção da iniciativa, desde o phishing inicial até ao backdoor em memória e às implementações secundárias, foi cuidadosamente desenhada para tirar partido de canais de confiança (HTTPS para serviços cloud, fluxos legítimos de e-mail) e técnicas sem ficheiros, escondendo-se à vista de todos".

Países da Europa de Leste terão sido os mais visados pelos hackers

A iniciativa de spear phishing, com duração de 72 horas, começou a 28 de janeiro e enviou pelo menos 29 e-mails distintos a organizações em nove países, sobretudo na Europa de Leste.

A Trellix identificou oito deles:

Polónia; Eslovénia; Turquia; Grécia; Emirados Árabes Unidos; Ucrânia; Roménia; Bolívia.

As organizações visadas incluíam ministérios da Defesa (40%), operadores de transporte e logística (35%) e entidades diplomáticas (25%).

Com base em indicadores técnicos e nos alvos selecionados, a Trellix atribuiu a iniciativa ao grupo APT28 com "elevada confiança".

O APT28 tem um longo historial de ciberespionagem e operações de influência. A sofisticação técnica desta iniciativa, com malware em várias fases, extensa ofuscação, abuso de serviços cloud e ataque a sistemas de e-mail para garantir reforço, reflete um adversário avançado e bem financiado, consistente com o perfil do APT28.

Escreveu a Trellix, conforme citado. Mais do que isso, "o conjunto de ferramentas e técnicas está, também, alinhado com a assinatura do APT28".

Entretanto, a empresa de segurança disponibilizou uma lista de indicadores que as organizações podem usar para determinar se foram alvo destes ataques.

Relatório da Trellix