Em tempo recorde, hackers ligados ao Estado russo exploraram uma vulnerabilidade crítica do Microsoft Office, conseguindo comprometer dispositivos em organizações diplomáticas, marítimas e de transportes em mais de meia dúzia de países, nomeadamente Ucrânia e Polónia.
Conforme avançado por investigadores, ontem, menos de 48 horas depois de a Microsoft ter lançado uma atualização de segurança urgente e não programada para o Office, no final do mês passado, um grupo de hackers explorou a vulnerabilidade.
Após aplicar engenharia inversa à correção, os membros do grupo, sob nomes como APT28, Fancy Bear, Sednit, Forest Blizzard e Sofacy, escreveram um exploit avançado que instalava um de dois backdoors nunca antes vistos.
Segundo os investigadores, toda a iniciativa foi concebida para tornar a invasão indetetável pelos sistemas de proteção de endpoints.
Além de serem inéditos, os exploits e os payloads estavam encriptados e executavam-se em memória, o que tornava difícil detetar o comportamento malicioso.
Segundo descrito, em última análise, a vulnerabilidade identificada pela Microsoft no Office podia levar à exposição ou alteração de dados sensíveis, falha do sistema ou execução de código arbitrário.
O vetor inicial teve origem em contas governamentais previamente comprometidas em vários países e era provavelmente familiar aos destinatários dos e-mails visados.
Além disso, os canais de comando e controlo estavam alojados em serviços legítimos de cloud que normalmente são permitidos dentro de redes sensíveis.
O uso do CVE-2026-21509 demonstra a rapidez com que atores alinhados com Estados conseguem transformar novas vulnerabilidades em armas, reduzindo a janela disponível para os defensores corrigirem sistemas críticos.
Escreveram os investigadores da empresa de segurança Trellix, explicando que “a cadeia modular de infeção da iniciativa, desde o phishing inicial até ao backdoor em memória e às implementações secundárias, foi cuidadosamente desenhada para tirar partido de canais de confiança (HTTPS para serviços cloud, fluxos legítimos de e-mail) e técnicas sem ficheiros, escondendo-se à vista de todos”.
Aquando da invasão da Ucrânia pela Rússia, em 2022, a autoridade de cibersegurança ucraniana disse estar a travar uma guerra digital, além daquela que o país estava a enfrentar no terreno. Desde logo, a Ucrânia começou a ser vítima de ciberataques constantes que visavam o governo e as infraestruturas, com funcionários individuais a serem, também, um alvo.
Países da Europa de Leste terão sido os mais visados pelos hackers
A iniciativa de spear phishing, com duração de 72 horas, começou a 28 de janeiro e enviou pelo menos 29 e-mails distintos a organizações em nove países, sobretudo na Europa de Leste.
A Trellix identificou oito deles:
- Polónia;
- Eslovénia;
- Turquia;
- Grécia;
- Emirados Árabes Unidos;
- Ucrânia;
- Roménia;
- Bolívia.
As organizações visadas incluíam ministérios da Defesa (40%), operadores de transporte e logística (35%) e entidades diplomáticas (25%).
Com base em indicadores técnicos e nos alvos selecionados, a Trellix atribuiu a iniciativa ao grupo APT28 com “elevada confiança”.
O APT28 tem um longo historial de ciberespionagem e operações de influência.
A sofisticação técnica desta iniciativa, com malware em várias fases, extensa ofuscação, abuso de serviços cloud e ataque a sistemas de e-mail para garantir reforço, reflete um adversário avançado e bem financiado, consistente com o perfil do APT28.
Escreveu a Trellix, conforme citado. Mais do que isso, “o conjunto de ferramentas e técnicas está, também, alinhado com a assinatura do APT28”.
Entretanto, a empresa de segurança disponibilizou uma lista de indicadores que as organizações podem usar para determinar se foram alvo destes ataques.