Una nuova campagna di cyber spionaggio ha mostrato quanto velocemente un gruppo APT possa trasformare una vulnerabilita appena resa pubblica in un vettore di attacco. Il gruppo APT28, noto per operazioni mirate e legato alla Russia, e stato osservato mentre sfruttava la falla di Microsoft Office CVE 2026 21509, classificata come bypass di una funzionalita di sicurezza, per distribuire malware in attacchi altamente selettivi. L attivita, associata al nome Operation Neusploit, ha preso di mira utenti e organizzazioni in Ucraina e in diversi Paesi dell Europa orientale, con esche di social engineering scritte in inglese e nelle lingue locali.
Il punto di ingresso e un file RTF malevolo che, una volta aperto, innesca la catena di infezione senza richiedere macro. Un elemento chiave e l evasione lato server: l infrastruttura risponde con il payload dannoso solo se la richiesta proviene dalla specifica area geografica bersaglio e include l header User Agent atteso. Questo approccio riduce la visibilita dell attacco e ostacola analisi automatiche e sandbox.
Dalla stessa vulnerabilita vengono attivate due varianti di dropper. La prima porta a MiniDoor, una DLL in C plus plus progettata per sottrarre email da cartelle come Posta in arrivo, Posta indesiderata e Bozze, quindi inoltrarle verso caselle controllate dagli attaccanti. La seconda variante, nota come PixyNetLoader, avvia una catena piu articolata con tecniche di persistenza tramite COM object hijacking e componenti aggiuntivi incorporati. Tra questi compaiono un loader e una immagine PNG usata come contenitore: il codice malevolo viene nascosto con steganografia e poi eseguito, ma solo se l ambiente non appare di analisi e se il processo che carica la DLL e explorer exe.
Lo stadio finale prevede il caricamento in memoria di un impianto Grunt legato al framework C2 Covenant, evidenziando l uso di strumenti e tecniche modulari per mantenere accesso e controllo. Segnalazioni parallele hanno indicato attacchi via documenti Word e connessioni WebDAV, con download di file LNK e ulteriori loader, fino a campagne successive che includono infrastrutture C2 su servizi cloud legittimi per mimetizzare il traffico e rendere piu complessa la risposta incident.