A los pocos días de que Microsoft publicara un parche de emergencia para Microsoft Office, la vulnerabilidad crítica CVE-2026-21509 fue incorporada al arsenal de la conocida amenaza avanzada persistente APT28 (también identificada como Fancy Bear, Sofacy o Forest Blizzard). Según análisis de Zscaler, el grupo implementó un exploit funcional casi de inmediato y lo utilizó en una campaña de phishing dirigido contra organizaciones en Ucrania y diversos países de Europa Central y del Este.
CVE-2026-21509: vulnerabilidad 0-day en Microsoft Office y velocidad de explotación
La vulnerabilidad CVE-2026-21509 afecta a los mecanismos de protección de Office frente a componentes COM/OLE maliciosos, permitiendo eludir controles diseñados para bloquear la carga insegura de objetos. El fallo fue catalogado como crítico por el riesgo de ejecución de código arbitrario al simplemente abrir un documento especialmente manipulado, sin interacción adicional del usuario.
Microsoft publicó un parche fuera de ciclo a finales de enero de 2026 y advirtió que la vulnerabilidad ya estaba siendo explotada como 0-day. Zscaler identificó el primer documento malicioso que aprovechaba CVE-2026-21509 fechado el 27 de enero, apenas un día después del lanzamiento del parche. Esto sugiere que APT28 realizó un análisis inverso del parche en cuestión de horas, extrajo los detalles técnicos del fallo y generó un exploit operativo con una rapidez mínima.
Este comportamiento encaja con una tendencia observada de forma reiterada en la industria: el intervalo entre la publicación de un parche y la explotación masiva de la vulnerabilidad se ha reducido drásticamente. Diversos informes de proveedores de seguridad han constatado que grupos APT y actores de ransomware monitorizan sistemáticamente los boletines de seguridad para priorizar vulnerabilidades recién corregidas y con alto impacto.
Campañas de phishing dirigidas de APT28 contra Ucrania y Europa del Este
El vector de acceso inicial se basó en correos de phishing cuidadosamente preparados, que simulaban comunicaciones oficiales y análisis procedentes de instituciones europeas vinculadas a Ucrania. Los documentos señuelo se redactaron en inglés, rumano, eslovaco y ucraniano, lo que aumentó su credibilidad para los destinatarios y dificultó la detección basada exclusivamente en el contenido lingüístico.
Además de Ucrania, se observaron ataques contra organizaciones en Eslovaquia, Rumanía y otros países de Europa Central y Oriental. Esta selección de objetivos resulta coherente con el historial de APT28, tradicionalmente centrada en entidades diplomáticas, de defensa, gobierno y sectores estratégicos como energía y transporte en la región euroatlántica.
Cadena de infección: de documentos de Office a la infraestructura Covenant C2
Uso de WebDAV y técnica de COM hijacking en Windows
Al abrir el documento malicioso de Office se activaba una cadena de descarga basada en WebDAV, protocolo que permite acceder a archivos remotos como si estuvieran en un recurso local. De este modo, los atacantes podían cargar componentes adicionales desde servidores remotos sin incrustarlos directamente en el archivo de Office, reduciendo la huella estática del malware.
Para lograr persistencia, APT28 recurrió a COM hijacking, técnica que consiste en sustituir o secuestrar componentes COM legítimos de Windows para forzar la carga de bibliotecas maliciosas durante procesos normales del sistema. La operación empleó, entre otros elementos:
- La biblioteca maliciosa EhStoreShell.dll, inyectada en rutas esperadas por el sistema.
- Shellcode oculto en la imagen SplashScreen.png, aprovechando técnicas de esteganografía para camuflar código en un aparente recurso gráfico.
- Una tarea programada denominada OneDriveHealth, que garantizaba la ejecución automática y recurrente del código malicioso.
Covenant C2, Filen y despliegue de malware adicional
El último eslabón de la intrusión consistía en la descarga y despliegue de Covenant, un framework de command and control (C2) de uso extendido en operaciones ofensivas avanzadas. APT28 ya había recurrido a Covenant en campañas de 2025 para distribuir malware como BeardShell y SlimAgent, lo que revela una preferencia sostenida por esta plataforma modular.
Para la comunicación con los servidores de comando, los atacantes aprovecharon el servicio en la nube Filen. Al encapsular el tráfico C2 dentro de interacciones que se asemejan a uso legítimo de almacenamiento en la nube, se complica su detección y bloqueo mediante controles de red convencionales.
La campaña también distribuyó dos familias de malware adicionales:
- MiniDoor, diseñado para el robo de datos de Microsoft Outlook mediante el abuso de macros y funciones de automatización del cliente de correo.
- PixyNetLoader, un cargador de Covenant Grunt con capacidades de acceso remoto, recolección de información, movimiento lateral y otras tareas de post-explotación.
Lecciones de ciberseguridad y medidas de mitigación para organizaciones
La combinación de una vulnerabilidad 0-day en Microsoft Office, un phishing extremadamente contextualizado, técnicas de COM hijacking y el uso de infraestructuras C2 en la nube evidencia un enfoque maduro y multicapa por parte de APT28. El objetivo principal de operaciones de este tipo suele ser mantener un acceso clandestino y prolongado a las redes comprometidas, facilitar labores de espionaje y preparar posibles acciones disruptivas futuras.
Para las organizaciones, este escenario refuerza varias recomendaciones clave de ciberseguridad:
- Reducir al mínimo la ventana de exposición: los parches de emergencia para Office y Windows deben desplegarse en horas o, como máximo, pocos días, con procesos de gestión de vulnerabilidades bien definidos.
- Endurecer la seguridad del correo electrónico: uso de autenticación multifactor, filtrado reforzado de adjuntos, análisis en sandbox de documentos ofimáticos y formación continua de usuarios frente a técnicas de phishing.
- Monitorizar actividad anómala: especial atención a operaciones inusuales sobre COM, creación y modificación de Scheduled Tasks y tráfico WebDAV hacia dominios o IP no habituales.
- Restringir macros en Office: políticas de “macros solo desde orígenes de confianza” y deshabilitación por defecto en usuarios que no las requieran.
Para entidades en Ucrania y en el resto de Europa, en particular en los sectores público, defensa e infraestructuras críticas, resulta imprescindible revisar los procesos de gestión de parches, la seguridad de la cadena de suministro de software y la capacidad de detección de actividad post-explotación. Invertir en visibilidad, automatización y análisis avanzado de amenazas reduce significativamente las oportunidades de grupos APT como APT28 para establecerse de forma silenciosa en la infraestructura y explotar vulnerabilidades como CVE-2026-21509. Actuar con rapidez, de forma planificada y basada en inteligencia de amenazas es hoy un factor determinante para la resiliencia cibernética.
