Una nueva ofensiva cibernética atribuida a hackers estatales rusos estaría aprovechando la vulnerabilidad CVE-2026-21509 en Microsoft Office para infiltrar sistemas gubernamentales, marítimos y de transporte en Europa y Asia.
En los últimos días, investigadores de seguridad de la firma Trellix detectaron una compleja campaña de espionaje digital puesta en marcha por la agrupación rusa conocida como APT28 -también identificada como Fancy Bear, UAC-0001 o Strontium- que se aprovecha de una falla crítica en Microsoft Office para comprometer computadoras y redes de alto valor en múltiples países. El vector de ataque gira en torno a CVE-2026-21509, una vulnerabilidad de omisión de funciones de seguridad en Office que fue divulgada públicamente por Microsoft a finales de enero y por la cual la empresa emitió un parche fuera de ciclo ante evidencia de explotación activa.
Los analistas señalan que este grupo de actores maliciosos rusos no tardó en transformar ese defecto en una herramienta operativa: en muchos casos, las primeras explotaciones ocurrieron apenas 24 a 72 horas después de la publicación del parche oficial.
La táctica inicial emplea documentos de Microsoft Office especialmente manipulados, enviados mediante campañas de spear-phishing con señuelos adaptados a temas geopolíticos, tales como alertas de contrabando de armas, invitaciones diplomáticas de la Unión Europea y avisos meteorológicos de emergencia. Estos archivos maliciosos activan el exploit apenas se abren, sin necesidad de habilitar macros, lo que facilita que el código malicioso pase desapercibido por los controles de seguridad tradicionales.
Una vez activada la vulnerabilidad, la infección progresa a través de múltiples etapas. Los atacantes emplean diferentes herramientas maliciosas, como MiniDoor, diseñado para interceptar y exfiltrar correos electrónicos, y PixyNetLoader, que sirve como puerta de entrada para implantar cargas útiles adicionales, incluyendo un backdoor encuadrado en la infraestructura de comando y control (C2) de Covenant. En algunos casos, los atacantes incluso han abusado de servicios legítimos de almacenamiento en la nube -como filen.io- para encubrir el tráfico malicioso y evadir mecanismos de detección.
Las víctimas identificadas en esta operación abarcan desde agencias gubernamentales en Ucrania, Eslovaquia, Rumania y otros países de Europa Central y Oriental, hasta organizaciones marítimas y de transporte en Polonia, Eslovenia, Grecia, Turquía y los Emiratos Árabes Unidos. Los correos electrónicos maliciosos enviados a través de cuentas previamente comprometidas pretendían provenir de entidades oficiales en países como Rumania, Bolivia o incluso Ucrania, lo que incrementó las probabilidades de que los destinatarios confiaran en los mensajes.
Expertos en ciberseguridad advierten que la rapidez con que este grupo ha integrado un exploit funcional sobre una vulnerabilidad recién parcheada demuestra la agilidad y sofisticación de actores estatales en el dominio cibernético. “El uso de CVE-2026-21509 demuestra cuán rápido los actores alineados con estados pueden convertir nuevas vulnerabilidades en armas digitales, reduciendo la ventana de oportunidad para que los defensores protejan sistemas críticos,” señalaron investigadores de Trellix en informes recientes.