Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Amenaza persistente avanzada (APT) CVE-2026-21509 Vulnerabilidad de Microsoft Office

CVE-2026-21509 Vulnerabilidad de Microsoft Office

Por Mezo en Amenaza persistente avanzada (APT)
Traducir a:

El actor de amenazas APT28, vinculado a Rusia y patrocinado por un estado, también identificado como UAC-0001, ha sido atribuido a una nueva ola de ciberataques que aprovechan una vulnerabilidad de Microsoft Office recientemente descubierta. Esta actividad se rastrea bajo la campaña Operación Neusploit y constituye uno de los primeros casos de explotación in situ tras su divulgación pública.

Los investigadores de seguridad observaron que el grupo utilizó la falla como arma el 29 de enero de 2026, solo tres días después de que Microsoft revelara la vulnerabilidad, apuntando a usuarios en Ucrania, Eslovaquia y Rumania.

CVE-2026-21509: Una omisión de una característica de seguridad con impacto real

La vulnerabilidad explotada, CVE-2026-21509, tiene una puntuación CVSS de 7,8 y afecta a Microsoft Office. Clasificada como una omisión de una característica de seguridad, la falla permite a los atacantes distribuir un documento de Office especialmente diseñado que puede activarse sin la debida autorización, lo que facilita la ejecución de código arbitrario como parte de una cadena de ataque más amplia.

Ingeniería social y tácticas de evasión específicas de cada región

La campaña se basó en gran medida en ingeniería social personalizada. Los documentos de señuelo se redactaron en inglés, rumano, eslovaco y ucraniano para aumentar la credibilidad entre los objetivos locales. La infraestructura de entrega se configuró con medidas de evasión del lado del servidor, lo que garantizaba que las cargas útiles de DLL maliciosas se sirvieran solo cuando las solicitudes provenían de las regiones geográficas objetivo e incluían los encabezados HTTP User-Agent esperados.

Estrategia de doble dropper mediante archivos RTF maliciosos

La operación se basa en el uso de documentos RTF maliciosos para explotar CVE-2026-21509 e implementar uno de dos droppers, cada uno con un objetivo operativo diferente. Un dropper ofrece la capacidad de robar correos electrónicos, mientras que el otro inicia una intrusión más compleja de varias etapas que culmina en la implementación de un implante de comando y control con todas las funciones.

MiniDoor: Robo de correo electrónico de Outlook dirigido

El primer dropper instala MiniDoor, una DLL basada en C++ diseñada para recopilar datos de correo electrónico de las carpetas de Microsoft Outlook, incluyendo la Bandeja de entrada, Correo no deseado y Borradores. Los mensajes robados se exfiltran a dos cuentas de correo electrónico codificadas y controladas por el atacante:
ahmeclaw2002@outlook[.]com y ahmeclaw@proton[.]me.

Se evalúa que MiniDoor es un derivado ligero de NotDoor (también conocido como GONEPOSTAL), una herramienta previamente documentada en septiembre de 2025.

PixyNetLoader y la cadena de implantes Covenant

El segundo dropper, conocido como PixyNetLoader, facilita una secuencia de ataque mucho más avanzada. Extrae componentes integrados y establece persistencia mediante el secuestro de objetos COM. Entre los archivos extraídos se encuentran un cargador de shellcode llamado EhStoreShell.dll y una imagen PNG denominada SplashScreen.png.

La función del cargador es extraer el código shell oculto en la imagen mediante esteganografía y ejecutarlo. Esta lógica maliciosa solo se activa cuando el entorno host no se identifica como un entorno de análisis protegido y cuando explorer.exe inicia la DLL; de lo contrario, permanece inactiva para evitar su detección.

El shellcode decodificado carga finalmente un ensamblado .NET integrado: un implante Grunt asociado al marco de comando y control de código abierto COVENANT. El uso previo de Covenant Grunt por parte de APT28 se documentó en septiembre de 2025 durante la Operación Phantom Net Voxel.

Continuidad táctica con la Operación Phantom Net Voxel

Si bien la Operación Neusploit reemplaza el método de ejecución de macros VBA de la campaña anterior por un enfoque basado en DLL, las técnicas subyacentes se mantienen prácticamente constantes. Estas incluyen:

  • Secuestro de COM para ejecución y persistencia
  • Mecanismos de proxy de DLL
  • Ofuscación de cadenas basada en XOR
  • Incorporación esteganográfica de cargadores de shellcode y cargas útiles de Covenant Grunt dentro de imágenes PNG

Esta continuidad resalta la preferencia de APT28 por desarrollar técnicas probadas en lugar de adoptar herramientas completamente nuevas.

La advertencia del CERT-UA confirma una focalización más amplia

La campaña coincidió con un aviso del Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), que advertía sobre la explotación de APT28 de CVE-2026-21509 mediante documentos de Microsoft Word. La actividad se dirigió a más de 60 direcciones de correo electrónico vinculadas a las autoridades ejecutivas centrales de Ucrania. El análisis de metadatos mostró que al menos un documento señuelo se creó el 27 de enero de 2026, lo que subraya aún más la rápida operacionalización de la vulnerabilidad.

Entrega basada en WebDAV y ejecución de carga útil final

El análisis reveló que al abrir el documento malicioso en Microsoft Office se activa una conexión WebDAV a un recurso externo. Esta interacción descarga un archivo con un nombre de acceso directo que contiene código de programa incrustado, el cual recupera y ejecuta una carga útil adicional.

Este proceso, en última instancia, refleja la cadena de infección de PixyNetLoader, lo que conduce a la implementación del implante Grunt del marco COVENANT y otorga a los atacantes acceso remoto persistente al sistema comprometido.

 

Tendencias

Mas Visto

Cargando...