Hackers russos usam falha do Office para atacar Ucrânia e Europa

Hackers associados à inteligência militar da Rússia estão explorando uma nova vulnerabilidade no Microsoft Office para atacar órgãos governamentais da Ucrânia e de outros países europeus. A informação foi divulgada por diferentes relatórios técnicos e confirmada pela equipe ucraniana de resposta a incidentes, a CERT-UA.

De acordo com a CERT-UA, os ataques começaram pouco tempo depois de a Microsoft divulgar a correção da falha, identificada como CVE-2026-21509, no início de janeiro. A campanha foi atribuída ao grupo APT28, também conhecido pelos nomes Fancy Bear, BlueDelta e Forest Blizzard, historicamente ligado ao serviço de inteligência militar russo.

Pesquisadores identificaram documentos maliciosos do Microsoft Office contendo o exploit, disfarçados como comunicações oficiais do centro hidrometeorológico da Ucrânia. Esses arquivos foram enviados para mais de 60 endereços de e-mail, a maioria pertencente a autoridades estatais. Ao serem abertos, os documentos acionavam a execução do Covenant, um framework open source amplamente usado em testes legítimos de red team, mas cada vez mais explorado por grupos hackers em ataques reais.

Em um relatório separado publicado nesta semana, pesquisadores da Zscaler afirmaram ter observado a mesma campanha do APT28 fora da Ucrânia, atingindo também Eslováquia e Romênia. Nessas ações, os invasores utilizaram iscas de phishing redigidas tanto em inglês quanto nos idiomas locais, aumentando a taxa de sucesso dos ataques.

A análise técnica identificou duas variações principais da cadeia de ataque. Na primeira, o exploit resultava na instalação do malware MiniDoor, projetado para coletar e exfiltrar e-mails das vítimas para servidores controlados pelos invasores. O MiniDoor é considerado uma versão simplificada do NotDoor, backdoor já associado a operações anteriores do APT28. Na segunda variação, os atacantes implantavam o PixyNetLoader, que posteriormente entregava um implante do Covenant nos sistemas comprometidos.

A Microsoft classificou a vulnerabilidade como de alta gravidade, destacando que múltiplos produtos do Office são afetados. A falha também foi incluída no catálogo de Vulnerabilidades Conhecidas Exploradas da CISA, o que reforça o alerta para a aplicação imediata das atualizações de segurança.

A CERT-UA alertou que a tendência é de aumento nos ataques enquanto usuários e organizações continuarem adiando a instalação dos patches. O APT28 atua há mais de duas décadas e intensificou suas operações contra a Ucrânia e aliados europeus desde o início da invasão russa em larga escala. Nos últimos meses, o grupo também foi associado a ataques contra infraestrutura crítica e entidades governamentais em países do Leste Europeu, ampliando a tensão no cenário de ciberconflitos regionais.