Sfruttamento istantaneo: hacker russi dirottano una falla di Microsoft Office per violare i governi europei
Sottotitolo: Nel giro di poche ore dalla divulgazione di una nuova vulnerabilità, APT28 ha lanciato una sofisticata campagna di spearphishing che ha infiltrato reti militari e diplomatiche in tutta Europa e oltre.
Tutto è iniziato con un solo clic. A fine gennaio 2026, dipendenti governativi in Polonia, Slovenia e in diverse altre nazioni hanno aperto quelli che sembravano banali documenti Word-solo per scatenare una delle campagne di cyber-spionaggio più avanzate dell’anno. Dietro l’attacco: APT28, il famigerato gruppo di hacker filorusso sponsorizzato dallo Stato, noto anche come Fancy Bear. La loro arma? Una vulnerabilità di Microsoft Office appena divulgata, rivolta contro gli utenti in tempi record.
L’anatomia di un attacco fulmineo
Il 26 gennaio 2026, Microsoft ha divulgato CVE-2026-21509-un bypass di una funzionalità di sicurezza in Office. Nel giro di un giorno, APT28 ha trasformato la falla in un’arma, creando email di spearphishing convincenti che imitavano di tutto, dagli avvisi sul contrabbando di armi alle consultazioni NATO. Queste email, inviate da account compromessi in Romania, Bolivia e Ucraina, hanno indotto le vittime ad aprire file RTF o DOC trappola come “BULLETEN_H.doc”.
Una volta aperto, il documento sfruttava la funzionalità OLE (Object Linking and Embedding) di Office per scaricare ed eseguire in silenzio payload malevoli da server controllati dagli attaccanti. La catena d’infezione era intricata: venivano rilasciati file di collegamento e una DLL “SimpleLoader”, con componenti malware nascosti dentro immagini PNG-un trucco pensato per eludere sia l’antivirus sia l’attenzione umana.
La vera potenza arrivava dal loader “BeardShell”, che eseguiva controlli anti-sandbox furtivi e decodificava codice nascosto dai file immagine. Questo portava a un loader .NET fileless che avviava l’impianto Covenant “Grunt”, una backdoor sofisticata che comunicava con servizi di archiviazione cloud per il command-and-control. Tutto ciò avveniva interamente in memoria, lasciando quasi nessuna traccia su disco-un incubo per i team di risposta agli incidenti.
APT28 non si è fermata all’accesso iniziale. Uno strumento parallelo, “NotDoor”, prendeva di mira Outlook, disabilitando la sicurezza delle macro e dirottando i dati email prima di inoltrarli a indirizzi degli attaccanti e cancellare le tracce. La persistenza veniva ottenuta tramite COM hijacking in Windows Explorer e attività pianificate mascherate da processi di sistema legittimi. Dopo la compromissione, gli attaccanti raccoglievano informazioni di sistema e iniettavano codice malevolo nei processi principali di Windows.
Attribuzione e conseguenze
I ricercatori di sicurezza, in particolare di Trellix e del CERT-UA ucraino, hanno attribuito la campagna ad APT28 sulla base di sovrapposizioni di codice e tecniche malware uniche. Domini come wellnessmedcare[.]org e freefoodaid[.]com ospitavano i payload, mentre le piattaforme di archiviazione cloud fungevano da centri di comando. La velocità della campagna-dalla divulgazione della vulnerabilità allo sfruttamento attivo-sottolinea quanto gli attori sostenuti dagli Stati siano diventati agili e pericolosi.
Conclusione
L’ultima operazione di APT28 è un monito inquietante: la finestra tra divulgazione di una vulnerabilità e sfruttamento si sta riducendo rapidamente. Per i difensori, applicare patch immediatamente e monitorare con vigilanza non è più negoziabile. Per i governi, la lezione è chiara-la resilienza cyber non riguarda solo la tecnologia, ma velocità, consapevolezza e adattamento incessante.
WIKICROOK
- OLE (Object Linking and Embedding): OLE consente l’incorporamento e il collegamento di oggetti tra applicazioni, migliorando il flusso di lavoro ma introducendo anche potenziali vulnerabilità di sicurezza nei documenti.
- Spearphishing: Lo spearphishing è una truffa via email mirata in cui gli attaccanti si spacciano per fonti fidate per indurre i destinatari a cliccare su link malevoli o condividere dati sensibili.
- Malware fileless: Il malware fileless è un software malevolo che viene eseguito nella memoria del computer, evitando l’archiviazione su disco e rendendo difficile il rilevamento da parte degli strumenti di sicurezza tradizionali.
- COM Hijacking: Il COM hijacking avviene quando gli attaccanti alterano le impostazioni di Windows per far sì che il sistema carichi i loro programmi malevoli invece del software legittimo.
- Comando: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo indirizza a eseguire azioni specifiche, talvolta per scopi malevoli.




