Hackers russos exploram falha do Microsoft Office em ofensiva contra Ucrânia e países europeus
Grupos de ciberespionagem ligados à inteligência militar da Rússia passaram a explorar uma vulnerabilidade recém-divulgada no Microsoft Office em uma nova onda de ataques contra órgãos governamentais da Ucrânia e de nações da Europa. A campanha foi detalhada em relatórios técnicos de empresas de segurança e confirmada pela equipe ucraniana de resposta a incidentes, a CERT-UA, que vem monitorando a atividade desde o início de janeiro.
Segundo a CERT-UA, os primeiros sinais da operação surgiram pouco tempo depois de a Microsoft liberar o patch de correção para a falha catalogada como CVE-2026-21509. A proximidade entre o anúncio da vulnerabilidade e o início dos ataques indica que os operadores do grupo APT28 – também conhecido como Fancy Bear, BlueDelta e Forest Blizzard – estavam preparados para explorá-la assim que as informações técnicas se tornassem públicas. O APT28 é historicamente atrelado ao serviço de inteligência militar russo e é um dos grupos mais ativos no cenário global de ciberespionagem.
Os pesquisadores identificaram o uso de documentos maliciosos do Microsoft Office como vetor inicial da infecção. Esses arquivos eram disfarçados como comunicados oficiais do centro hidrometeorológico ucraniano, o que conferia credibilidade ao conteúdo e aumentava as chances de abertura pelas vítimas. De acordo com a análise, mais de 60 endereços de e-mail foram alvo da campanha, grande parte pertencente a funcionários de instituições governamentais e agências estatais da Ucrânia.
No momento em que o documento era aberto, o exploit embutido explorava a falha CVE-2026-21509 para acionar a execução do Covenant, um framework open source amplamente utilizado em exercícios legítimos de red team. Nos últimos anos, porém, essa ferramenta tem sido cada vez mais apropriada por grupos maliciosos, que a utilizam para assumir o controle remoto de sistemas, movimentar-se lateralmente em redes internas e manter persistência sem chamar atenção.
Em um relatório separado, pesquisadores da Zscaler detalharam que a mesma operação do APT28 ultrapassou as fronteiras ucranianas e atingiu alvos na Eslováquia e na Romênia. Nesses países, os invasores adaptaram suas iscas de phishing, redigindo mensagens em inglês e também nos idiomas locais, o que demonstra um conhecimento prévio sobre o contexto das vítimas e uma estratégia cuidadosa para maximizar a taxa de sucesso. Esse tipo de personalização é uma marca de campanhas de espionagem mais sofisticadas.
A análise técnica das investidas identificou duas cadeias principais de ataque. Em uma delas, após a exploração da vulnerabilidade no Office, o sistema comprometido recebia o MiniDoor, um malware focado na interceptação e exfiltração de mensagens de e-mail. O MiniDoor é descrito como uma versão mais enxuta e discreta do NotDoor, backdoor já observado em operações anteriores atribuídas ao APT28, com capacidades suficientes para monitorar comunicações sensíveis sem gerar grande volume de tráfego suspeito.
Na outra variação da campanha, os atacantes implantavam inicialmente o PixyNetLoader, uma espécie de “carregador” projetado para estabelecer uma base dentro do sistema comprometido e, em seguida, entregar um implante do Covenant. Essa abordagem em várias etapas permite modular o grau de intrusão, começando com componentes menores e, conforme o sucesso da intrusão, escalando para ferramentas mais robustas e completas. Com isso, o grupo reduz o risco de detecção precoce e tem maior flexibilidade para adaptar o ataque a cada ambiente.
A Microsoft classificou a CVE-2026-21509 como uma vulnerabilidade de alta gravidade, ressaltando que diferentes produtos da família Office estão potencialmente expostos ao problema. Em paralelo, a falha foi adicionada ao catálogo de Vulnerabilidades Conhecidas Exploradas da CISA, o que reforça o caráter crítico do caso e pressiona organizações do mundo todo a priorizarem a aplicação dos patches. A inclusão em listas desse tipo costuma significar que a exploração já está ocorrendo em escala relevante e com impacto real.
Para a CERT-UA, o cenário tende a piorar enquanto usuários e empresas postergarem a instalação das atualizações de segurança. A experiência em incidentes anteriores mostra que muitos ataques bem-sucedidos exploram falhas para as quais já existem correções há semanas ou meses. No caso específico da CVE-2026-21509, a rapidez do APT28 em incorporar o exploit às suas ferramentas indica que o grupo acompanha de perto os boletins de segurança de grandes fornecedores como a Microsoft.
O histórico do APT28 ajuda a explicar a preocupação das autoridades. Ativo há mais de duas décadas, o grupo é conhecido por campanhas de espionagem digital direcionadas a governos, organizações militares, partidos políticos, meios de comunicação e setores estratégicos de infraestrutura. Desde o início da invasão russa em larga escala à Ucrânia, suas operações contra instituições ucranianas e aliados europeus se intensificaram, acompanhando de perto a escalada do conflito geopolítico.
Nos últimos meses, investigações independentes associaram o APT28 a ataques contra infraestruturas críticas e órgãos governamentais em diversos países do Leste Europeu. Essas incursões incluem tentativas de acesso a sistemas de energia, telecomunicações e transporte, além de campanhas visando o roubo de documentos diplomáticos e militares. A atuação persistente do grupo contribui para aumentar a tensão no campo dos ciberconflitos regionais e evidencia como o ciberespaço se tornou uma extensão dos conflitos tradicionais.
Do ponto de vista técnico, a exploração de falhas em aplicações amplamente utilizadas, como o Microsoft Office, é uma tática recorrente em operações de estados-nação. Softwares de uso massivo oferecem uma superfície de ataque vasta e, muitas vezes, heterogênea, abrangendo desde pequenas repartições públicas até grandes ministérios e empresas estratégicas. Uma única vulnerabilidade sem correção, se combinada a técnicas eficazes de engenharia social, pode abrir portas para redes inteiras.
É importante destacar também o papel das iscas temáticas, como no caso dos documentos que simulavam comunicados do centro hidrometeorológico ucraniano. A escolha de temas ligados ao cotidiano de órgãos públicos reduz a desconfiança do destinatário. Quando a mensagem está alinhada com as funções do servidor – previsões meteorológicas, alertas climáticos, relatórios técnicos –, a tendência é que o arquivo seja aberto rapidamente, muitas vezes sem a devida verificação de segurança.
Para organizações governamentais e empresas europeias que podem estar na mira desse tipo de operação, as recomendações passam por três frentes principais: correção rápida de vulnerabilidades, fortalecimento da conscientização dos usuários e melhoria da capacidade de detecção. A atualização imediata do Microsoft Office e de outros produtos afetados é o passo mais urgente. Em paralelo, é fundamental treinar equipes para reconhecer sinais de phishing direcionado, mesmo quando as mensagens parecem extremamente legítimas e contextualizadas.
Outra medida relevante é a adoção de soluções de segurança capazes de identificar comportamentos anômalos, como a execução inesperada de scripts ou ferramentas de comando e controle, a exemplo do Covenant. Como muitas dessas ferramentas são de uso dual – tanto para testes legítimos quanto para atividades maliciosas –, a simples presença delas no ambiente não é suficiente para caracterizar um ataque. Por isso, monitorar o contexto de uso, horários, contas envolvidas e padrões de comunicação torna-se essencial.
Especialistas em cibersegurança alertam que o caso da CVE-2026-21509 ilustra um padrão cada vez mais comum: a janela de tempo entre a divulgação de uma vulnerabilidade e sua exploração em escala está se tornando cada vez menor. Grupos bem estruturados, especialmente aqueles com apoio estatal, conseguem analisar rapidamente boletins de segurança, desenvolver exploits funcionais e integrá-los às suas campanhas em poucos dias. Organizações que não têm processos ágeis de gestão de patches acabam se tornando alvos fáceis.
Também é necessário considerar o impacto estratégico do roubo de e-mails e documentos governamentais, como faz o MiniDoor. Acesso prolongado a caixas de correio institucionais permite mapear relacionamentos, identificar discussões sensíveis, antecipar decisões políticas e até manipular narrativas públicas. Em um contexto de guerra e tensões diplomáticas, esse tipo de informação pode ser tão valioso quanto dados de operações militares em campo.
Por fim, o episódio reforça a importância de encarar a segurança digital como um componente central da segurança nacional, especialmente em regiões marcadas por conflitos e disputas de influência. Campanhas como as do APT28 não miram apenas sistemas isolados, mas todo um ecossistema de informações e decisões estratégicas. A capacidade de responder rapidamente a novas vulnerabilidades, detectar intrusões sofisticadas e coordenar ações entre diferentes instituições pode ser determinante para reduzir danos e conter o avanço de operações de ciberespionagem patrocinadas por estados.