El actor de amenazas patrocinado por el Estado vinculado a Rusia conocido como APT28 (también conocido como UAC-0001) se ha atribuido a ataques que explotan una falla de seguridad recientemente revelada en Microsoft Office como parte de una campaña con el nombre en código Operación ploit de nariz.
Zscaler ThreatLabz dijo que observó al grupo de piratas informáticos aprovechando la deficiencia como arma el 29 de enero de 2026, en ataques dirigidos a usuarios en Ucrania, Eslovaquia y Rumania, tres días después de que Microsoft revelara públicamente la existencia del error.
La vulnerabilidad en cuestión es CVE-2026-21509 (puntuación CVSS: 7,8), una característica de seguridad de Microsoft Office que podría permitir a un atacante no autorizado enviar un archivo de Office especialmente diseñado y activarlo.
«Los señuelos de ingeniería social fueron elaborados tanto en inglés como en idiomas localizados (rumano, eslovaco y ucraniano) para apuntar a los usuarios en los respectivos países», dijeron los investigadores de seguridad Sudeep Singh y Roy Tay. «El actor de amenazas empleó técnicas de evasión del lado del servidor, respondiendo con la DLL maliciosa sólo cuando las solicitudes se originaron en la región geográfica objetivo e incluyeron el encabezado HTTP User-Agent correcto».
Las cadenas de ataques, en pocas palabras, implican la explotación del agujero de seguridad por medio de un archivo RTF malicioso para entregar dos versiones diferentes de un dropper, uno que está diseñado para eliminar un ladrón de correo electrónico de Outlook llamado MiniPuertay otro, denominado PixyNetLoaderque es responsable del despliegue de un implante Covenant Grunt.
El primer cuentagotas actúa como una vía para servir MiniDoor, un archivo DLL basado en C++ que roba los correos electrónicos de un usuario en varias carpetas (Bandeja de entrada, Basura y Borradores) y los reenvía a dos direcciones de correo electrónico codificadas de actores de amenazas: ahmeclaw2002@outlook(.)com y ahmeclaw@proton(.)yo. Se considera que MiniDoor es una versión simplificada de NotDoor (también conocido como GONEPOSTAL), que fue documentado por S2 Grupo LAB52 en septiembre de 2025.
Por el contrario, el segundo dropper, es decir, PixyNetLoader, se utiliza para iniciar una cadena de ataque mucho más elaborada que implica entregar componentes adicionales integrados en ella y configurar la persistencia en el host mediante el secuestro de objetos COM. Entre las cargas útiles extraídas se encuentran un cargador de código shell («EhStoreShell.dll») y una imagen PNG («SplashScreen.png»).
La responsabilidad principal del cargador es analizar el código shell oculto mediante esteganografía dentro de la imagen y ejecutarlo. Dicho esto, el cargador sólo activa su lógica maliciosa si la máquina infectada no es un entorno de análisis y cuando el proceso host que lanzó la DLL es «explorer.exe». El malware permanece inactivo si no se cumplen las condiciones.
El shellcode extraído, en última instancia, se utiliza para cargar un ensamblado .NET integrado, que no es más que un implante Grunt asociado con el marco de comando y control (C2) .NET COVENANT de código abierto. Vale la pena señalar que Sekoia destacó el uso del Grunt Stager por parte de APT28 en septiembre de 2025 en relación con una campaña llamada Operación Phantom Net Voxel.
«La cadena de infección PixyNetLoader comparte una notable superposición con la Operación Phantom Net Voxel», dijo Zscaler. «Aunque la campaña anterior utilizó una macro VBA, esta actividad la reemplaza con una DLL manteniendo técnicas similares, incluyendo (1) secuestro de COM para su ejecución, (2) proxy de DLL, (3) técnicas de cifrado de cadenas XOR y (4) Covenant Grunt y su cargador de shellcode incrustado en un PNG mediante esteganografía».
La divulgación coincide con un informe del Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) que también advirtió sobre el abuso de APT28 de CVE-2026-21509 utilizando documentos de Word para apuntar a más de 60 direcciones de correo electrónico asociadas con autoridades ejecutivas centrales del país. El análisis de metadatos revela que uno de los documentos señuelo se creó el 27 de enero de 2026.
«Durante la investigación, se descubrió que abrir el documento usando Microsoft Office conduce al establecimiento de una conexión de red a un recurso externo usando el protocolo WebDAV, seguido de la descarga de un archivo con un nombre de archivo de acceso directo que contiene un código de programa diseñado para descargar y ejecutar un archivo ejecutable», dijo CERT-UA.
Esto, a su vez, desencadena una cadena de ataque idéntica a PixyNetLoader, lo que resulta en la implementación del implante Grunt del marco COVENANT.