Hackers associados à inteligência militar da Rússia estão explorando uma nova vulnerabilidade no Microsoft Office para realizar ataques direcionados a órgãos governamentais da Ucrânia e de outros países da Europa. A informação consta em relatórios técnicos recentes e foi confirmada pela equipe ucraniana de resposta a incidentes, a CERT-UA.
Segundo a CERT-UA, as campanhas maliciosas tiveram início logo após a Microsoft divulgar a correção da falha, identificada como CVE-2026-21509, no começo de janeiro. A atividade foi atribuída ao grupo APT28, também conhecido como Fancy Bear, BlueDelta e Forest Blizzard, historicamente ligado ao serviço de inteligência militar russo.
Pesquisadores identificaram documentos maliciosos do Microsoft Office que exploravam a vulnerabilidade, disfarçados como comunicações oficiais do centro hidrometeorológico da Ucrânia. Esses arquivos foram enviados para mais de 60 endereços de e-mail, a maioria pertencente a autoridades estatais. Ao serem abertos, os documentos acionavam a execução do Covenant, um framework open source utilizado em testes legítimos de red team, mas cada vez mais explorado em ataques reais.
Em um relatório separado divulgado nesta semana, pesquisadores da Zscaler relataram ter observado a mesma campanha fora da Ucrânia, atingindo também organizações na Eslováquia e na Romênia. Nessas ações, os atacantes utilizaram iscas de phishing redigidas tanto em inglês quanto nos idiomas locais, o que aumentou a taxa de sucesso das investidas.
A análise técnica identificou duas variações principais da cadeia de ataque. Na primeira, o exploit resultava na instalação do malware MiniDoor, projetado para coletar e exfiltrar e-mails das vítimas para servidores controlados pelos invasores. O MiniDoor é considerado uma versão simplificada do NotDoor, backdoor já associado a operações anteriores do APT28. Na segunda variação, os invasores implantavam o PixyNetLoader, que posteriormente entregava um implante do Covenant aos sistemas comprometidos.
A Microsoft classificou a vulnerabilidade como de alta gravidade e alertou que múltiplos produtos do Office são afetados. A falha também foi incluída no catálogo de Vulnerabilidades Conhecidas Exploradas da CISA, reforçando o alerta para a aplicação imediata das atualizações de segurança.
A CERT-UA destacou que a tendência é de aumento nos ataques enquanto usuários e organizações continuarem adiando a instalação dos patches. O APT28 atua há mais de duas décadas e intensificou suas operações contra a Ucrânia e aliados europeus desde o início da invasão russa em larga escala. Nos últimos meses, o grupo também foi associado a ataques contra infraestrutura crítica e entidades governamentais em países do Leste Europeu, ampliando as tensões no cenário de ciberconflitos regionais.
