Operazione Neusploit: l’APT28 russa colpisce con un hack di Microsoft Office fulmineo
Sottotitolo: In pochi giorni, hacker di Stato russi hanno trasformato in arma una nuova falla di Microsoft Office-prendendo di mira l’Europa orientale con malware furtivo e furto di email.
In una gelida mattina di gennaio del 2026, i team di sicurezza in tutta Europa si sono svegliati davanti a una scoperta inquietante: un avversario familiare era tornato, armato di un’arma completamente nuova. Entro 72 ore dalla patch d’emergenza di Microsoft per una pericolosa vulnerabilità di Office, l’APT28 legata alla Russia-nota anche come Fancy Bear-l’aveva già trasformata in uno strumento di cyber-spionaggio di precisione. La loro campagna, battezzata Operazione Neusploit, ha preso di mira Ucraina, Slovacchia e Romania, usando esche nelle lingue locali e alcuni dei trucchi malware più sofisticati in circolazione.
Dentro l’attacco: come APT28 ha trasformato in arma uno zero-day
I ricercatori di Zscaler ThreatLabz hanno individuato per la prima volta l’operazione Neusploit a fine gennaio, collegandola con “alta confidenza” ad APT28-un gruppo noto per la rapidità con cui sfrutta nuove falle software. La vulnerabilità in questione, CVE-2026-21509, si annidava nella funzione OLE (Object Linking and Embedding) di Microsoft Office. Bastava aprire un file appositamente confezionato perché le vittime, inconsapevolmente, consegnassero agli attaccanti il controllo delle proprie macchine.
L’attacco iniziava con un documento Rich Text Format (RTF) creato ad hoc. Una volta aperto, il documento attivava la falla di Office e scaricava un dropper-un piccolo programma che installa ulteriore malware. Sono state osservate due varianti:
- MiniDoor: Progettato specificamente per colpire Microsoft Outlook, questo malware disabilitava silenziosamente gli avvisi di sicurezza, abilitava le macro automatiche, scandagliava le caselle di posta ed esfiltrava le email verso indirizzi controllati dalla Russia-il tutto cancellando le proprie tracce.
- PixyNetLoader: Un loader più sofisticato, nascondeva il proprio codice dentro un’immagine PNG apparentemente innocua usando la steganografia. Inoltre verificava la presenza di segnali di analisi e, se rilevati, si rifiutava di avviarsi-ostacolando i ricercatori di sicurezza.
L’obiettivo finale? Distribuire la backdoor Covenant Grunt, uno strumento nato originariamente per il penetration testing. Una volta installato, questo impianto garantiva ad APT28 pieno accesso remoto, consentendo di controllare i sistemi infetti ed esfiltrare i dati rubati tramite Filen.io, un servizio cloud legittimo che mascherava il traffico come normale attività internet.
Contesto: un nemico noto con nuovi trucchi
Le impronte di APT28 erano inconfondibili. Nota per attacchi di alto profilo, dal DNC alle agenzie antidoping, la rapidità con cui il gruppo ha sfruttato CVE-2026-21509 mostra come gli attori statali mescolino tecniche classiche-come phishing e COM hijacking-con una furtività moderna, ad esempio nascondendo codice nelle immagini e abusando dello storage cloud per il command-and-control.
Gli esperti di sicurezza avvertono che, sebbene APT28 sia stata la prima a muoversi, ora sta circolando codice proof-of-concept, rendendo probabile che altri attori della minaccia seguiranno presto l’esempio. La patch di Microsoft, rilasciata con un aggiornamento d’emergenza, è fondamentale-ma efficace solo se le organizzazioni la applicano e riavviano le app di Office. Tra le difese consigliate figurano anche il monitoraggio di traffico Filen.io anomalo e l’irrigidimento delle impostazioni del registro.
Conclusione: la corsa tra hacker e difensori
L’Operazione Neusploit è un promemoria netto: nel mondo della guerra cibernetica, la velocità è tutto. Non appena una vulnerabilità viene rivelata-anche se esiste già una patch-attori della minaccia come APT28 possono muoversi a ritmo vertiginoso, trasformando difetti software in armi digitali. Per i difensori, vigilanza, patching rapido e uno sguardo scettico sugli allegati email restano gli scudi migliori contro la prossima ondata di attacchi.
WIKICROOK
- Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software, per la quale non esiste alcuna correzione disponibile, rendendola estremamente preziosa e pericolosa per gli attaccanti.
- Dropper: Un dropper è un tipo di malware che installa di nascosto ulteriori programmi malevoli su un dispositivo infetto, aiutando gli attaccanti ad aggirare le misure di sicurezza.
- Steganography: La steganografia nasconde messaggi segreti o codice all’interno di file di uso comune, come immagini o audio, rendendo difficile individuare le informazioni nascoste.
- Command: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
- Phishing: Il phishing è un crimine informatico in cui gli attaccanti inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.




