Hackers russos exploram falha no Microsoft Office em ofensiva contra Ucrânia e países europeus
Grupos de ciberespionagem ligados à inteligência militar da Rússia estão explorando uma vulnerabilidade recentemente corrigida no Microsoft Office para atacar órgãos governamentais na Ucrânia e em outras nações da Europa. A ofensiva foi detalhada em relatórios técnicos independentes e confirmada pela equipe ucraniana de resposta a incidentes, a CERT-UA.
Segundo a CERT-UA, os primeiros sinais da campanha apareceram pouco depois de a Microsoft liberar o patch de segurança para a falha CVE-2026-21509, no início de janeiro. Isso indica que os invasores provavelmente já conheciam ou analisaram rapidamente a vulnerabilidade e correram para explorá-la antes que as correções fossem amplamente aplicadas. A operação é atribuída ao grupo APT28, também identificado pelos codinomes Fancy Bear, BlueDelta e Forest Blizzard, há anos associado ao serviço de inteligência militar russo.
Os pesquisadores localizaram documentos maliciosos em formato Microsoft Office contendo o exploit para a falha, mascarados como comunicações legítimas do centro hidrometeorológico da Ucrânia. Esses arquivos foram enviados direcionadamente para mais de 60 endereços de e-mail, majoritariamente pertencentes a representantes e autoridades estatais. Ao serem abertos, os documentos disparavam uma cadeia de execução que levava ao uso do Covenant, um framework open source originalmente voltado para testes de segurança ofensiva (red team), mas que vem sendo cada vez mais abusado em operações maliciosas.
Um relatório complementar, divulgado por especialistas da Zscaler, mostrou que a mesma campanha ultrapassou as fronteiras ucranianas e foi observada também na Eslováquia e na Romênia. Nessas regiões, os operadores do APT28 adaptaram as iscas de phishing, enviando mensagens em inglês e nos idiomas locais, com o objetivo de tornar o conteúdo mais convincente e aumentar significativamente a taxa de abertura e de comprometimento.
A análise técnica identificou, de forma geral, duas cadeias de ataque principais. No primeiro cenário, a exploração da vulnerabilidade levava à instalação do malware MiniDoor, um software malicioso focado em capturar e exfiltrar e-mails das contas das vítimas para servidores sob controle dos hackers. O MiniDoor é descrito como uma versão mais enxuta e especializada do NotDoor, um backdoor já observado em ações anteriores atribuídas ao mesmo grupo APT28.
Na segunda variante da operação, os atacantes utilizavam um componente chamado PixyNetLoader, responsável por entregar, em um estágio posterior, um implante do Covenant nos sistemas comprometidos. Esse implante fornece aos invasores controle remoto e capacidades de movimentação lateral, coleta de dados e persistência prolongada dentro do ambiente da vítima, características típicas de campanhas de espionagem cibernética de longo prazo.
A Microsoft classificou a vulnerabilidade CVE-2026-21509 como de alta gravidade, enfatizando que diversos produtos da família Office são afetados. A inclusão da falha no catálogo de Vulnerabilidades Conhecidas Exploradas da CISA reforça a urgência na aplicação dos patches de segurança, principalmente em ambientes governamentais e corporativos que lidam com informações sensíveis e infraestruturas críticas.
A CERT-UA ressaltou que a tendência é de aumento no volume e na sofisticação dos ataques enquanto usuários e organizações continuarem adiando a instalação das atualizações. Esse comportamento cria uma janela de oportunidade ideal para grupos como o APT28, que historicamente exploram brechas logo após a divulgação pública das falhas e antes de a base instalada estar efetivamente protegida.
O APT28 atua há mais de vinte anos em operações de ciberespionagem e influência, com foco frequente em alvos governamentais, militares, diplomáticos e midiáticos. Desde o início da invasão em larga escala da Ucrânia pela Rússia, o grupo ampliou substancialmente sua atuação contra o país e seus aliados europeus, buscando obter vantagem estratégica, acessar comunicações internas e comprometer a tomada de decisão de governos e instituições.
Nos últimos meses, esse mesmo grupo tem sido vinculado a ataques atribuídos a campanhas contra infraestruturas críticas e entidades governamentais em países do Leste Europeu. Esses incidentes incluem tentativas de acesso a redes de energia, transporte, comunicação e órgãos responsáveis pela gestão de crises, aumentando ainda mais a tensão no cenário de ciberconflitos regionais e evidenciando o papel da guerra cibernética como extensão dos conflitos geopolíticos tradicionais.
Para os órgãos públicos e empresas que utilizam o Microsoft Office, o caso evidencia um padrão recorrente: mesmo após a divulgação e correção de uma vulnerabilidade, o risco permanece elevado enquanto o patch não é efetivamente aplicado em todos os sistemas. Ambientes com grande número de estações de trabalho, uso de versões legadas de software e processos de atualização lentos tornam-se alvos preferenciais de grupos avançados de ameaças.
Esse tipo de campanha também demonstra como ferramentas legítimas de testes de segurança, como o Covenant, podem ser reaproveitadas por criminosos e atores estatais. Ao utilizarem frameworks open source amplamente conhecidos pela comunidade de segurança, os invasores se beneficiam de funcionalidades robustas e, ao mesmo tempo, dificultam o trabalho de atribuição e detecção, já que parte dos comportamentos é semelhante a atividades de testes autorizados.
Outro ponto crítico é o uso de engenharia social altamente contextualizada. Ao se passarem por comunicações oficiais de órgãos meteorológicos e ao adaptarem mensagens para diferentes idiomas europeus, os operadores do APT28 buscam contornar treinamentos genéricos de conscientização em segurança. E-mails aparentemente rotineiros, com temas administrativos ou técnicos, acabam parecendo legítimos mesmo para usuários com certo nível de cautela, o que reforça a necessidade de campanhas de educação mais específicas e contínuas.
Medidas de mitigação passam obrigatoriamente pela aplicação rápida de atualizações de segurança em todos os produtos Office afetados, pela adoção de políticas de macro desabilitadas por padrão, pelo uso de filtros de e-mail mais sofisticados e pela implantação de soluções de detecção de comportamento anômalo em estações de trabalho e servidores. A segmentação de rede e o princípio de privilégio mínimo também reduzem o impacto em caso de comprometimento inicial.
Para organizações que lidam com dados sensíveis ou que operam em setores estratégicos, a recomendação é combinar ferramentas técnicas com processos maduros de resposta a incidentes. Isso inclui planos de contenção rápida, rotinas de monitoramento focadas em atividades de exfiltração de e-mails e acessos suspeitos a caixas de correio, além de revisões periódicas de regras de firewall, proxies e sistemas de prevenção de intrusão.
A campanha ligada à CVE-2026-21509 reforça, ainda, a importância do gerenciamento de vulnerabilidades como processo contínuo, e não como ação pontual. Inventariar ativos, identificar softwares desatualizados, priorizar correções com base na exploração ativa por atacantes e testar regularmente a eficácia dos controles de segurança são práticas que ajudam a reduzir o espaço de manobra de grupos avançados como o APT28.
Em um cenário de conflito prolongado na Europa e de crescente rivalidade entre blocos geopolíticos, a fronteira entre ataques cibernéticos puramente criminosos e operações de Estado tende a ficar cada vez mais difusa. Campanhas como essa, baseadas em vulnerabilidades conhecidas, documentos maliciosos e ferramentas de ofensiva reaproveitadas, mostram que a segurança digital se tornou parte central da estratégia de defesa e de política externa de diversos países.
Para os usuários finais, embora o foco principal desses ataques sejam órgãos governamentais e instituições estratégicas, as lições são as mesmas: manter o sistema operacional e o Office sempre atualizados, desconfiar de anexos inesperados, mesmo que pareçam oficiais, e reportar qualquer comportamento estranho no computador ou na conta de e-mail a equipes de TI ou segurança. A soma dessas práticas individuais com uma postura organizacional madura é hoje uma das principais barreiras contra campanhas avançadas como as atribuídas ao APT28.