Apt28

O grupo hacker APT28, também conhecido como Fancy Bear, é uma entidade de ciberespionagem russa associada ao GRU, o serviço de inteligência militar da Rússia. Desde sua formação em 2004, o APT28 tem se destacado por suas campanhas de espionagem e sabotagem, visando organizações governamentais e infraestruturas críticas em diversos países. O grupo é notório por suas táticas sofisticadas, que incluem spear-phishing e exploração de vulnerabilidades de dia zero, como evidenciado em um ataque recente que explorou uma falha no Microsoft Office para atingir instituições ucranianas.

Uma vulnerabilidade crítica no Microsoft Office, identificada como CVE-2026-21509, está sendo ativamente explorada por hackers, especialmente um grupo conhecido como APT28. Apesar de a Microsoft ter lançado um patch para corrigir a falha, a exploração da vulnerabilidade foi detectada apenas três dias após a atualização. A Equipe de Resposta a Emergências Cibernéticas da Ucrânia (CERT) relatou que documentos maliciosos estão sendo distribuídos, com alvos principais em organizações governamentais ucranianas e instituições na União Europeia. O ataque envolve a abertura de arquivos DOC corrompidos que desencadeiam downloads de malware, utilizando técnicas como sequestro de COM e shellcode oculto. Especialistas recomendam que as organizações atualizem imediatamente seus sistemas Microsoft Office e outros aplicativos do Microsoft 365 para evitar compromissos de segurança. A situação é alarmante, pois a falha pode ter repercussões mais amplas do que inicialmente previsto, afetando a segurança de dados em várias regiões.

O grupo de ameaças APT28, vinculado ao governo russo, está explorando uma nova vulnerabilidade no Microsoft Office, identificada como CVE-2026-21509, com um escore CVSS de 7.8. Essa falha permite que atacantes não autorizados enviem arquivos maliciosos que podem comprometer sistemas. A campanha, chamada Operation Neusploit, foi observada em ataques direcionados a usuários na Ucrânia, Eslováquia e Romênia, logo após a divulgação pública da vulnerabilidade pela Microsoft. Os pesquisadores da Zscaler relataram que os atacantes utilizaram técnicas de engenharia social em múltiplas línguas para enganar as vítimas. A exploração envolve o uso de arquivos RTF maliciosos que instalam dois tipos de droppers: MiniDoor, que rouba e-mails, e PixyNetLoader, que ativa um implante chamado Grunt, associado ao framework de comando e controle COVENANT. A CERT-UA, equipe de resposta a emergências da Ucrânia, confirmou que documentos do Word foram utilizados para atacar mais de 60 endereços de e-mail de autoridades governamentais. A vulnerabilidade representa um risco significativo, especialmente para organizações que utilizam o Microsoft Office em suas operações diárias.

O Centro de Resposta a Emergências de Computador da Ucrânia (CERT-UA) alertou que hackers russos estão explorando a vulnerabilidade CVE-2026-21509, recentemente corrigida pela Microsoft, em várias versões do Microsoft Office. Em 26 de janeiro, a Microsoft lançou uma atualização de segurança de emergência, identificando a falha como um zero-day ativamente explorado. Apenas três dias após o alerta, o CERT-UA detectou a distribuição de arquivos DOC maliciosos relacionados a consultas do COREPER da UE, além de e-mails falsificados que se passavam pelo Centro Hidrometeorológico da Ucrânia, enviados a mais de 60 endereços governamentais. A análise da metadata dos documentos revelou que foram criados um dia após a atualização de segurança. O CERT-UA atribuiu esses ataques ao grupo APT28, associado à inteligência militar russa (GRU). A abertura do documento malicioso inicia uma cadeia de download que instala malware via COM hijacking, utilizando um arquivo DLL malicioso e shellcode oculto em uma imagem. O malware COVENANT, utilizado nos ataques, se conecta ao serviço de armazenamento em nuvem Filen para operações de comando e controle. As organizações são aconselhadas a aplicar a atualização de segurança mais recente e a monitorar conexões associadas ao Filen para melhorar a defesa contra essa ameaça.

Recentemente, atores de ameaça associados ao governo russo, identificados como APT28 (também conhecido como BlueDelta), foram vinculados a uma série de ataques de coleta de credenciais. Os alvos incluem indivíduos ligados a uma agência de pesquisa energética e nuclear da Turquia, além de funcionários de um think tank europeu e organizações na Macedônia do Norte e Uzbequistão. Os ataques, que ocorreram entre fevereiro e setembro de 2025, utilizaram páginas de login falsas que imitavam serviços populares como Microsoft Outlook e Google, redirecionando os usuários para sites legítimos após a inserção de credenciais, o que dificultou a detecção. A campanha se destacou pelo uso de documentos PDF legítimos como iscas, incluindo publicações relacionadas a conflitos geopolíticos. A APT28 demonstrou uma dependência contínua de serviços de internet legítimos para hospedar suas páginas de phishing, o que ressalta a eficácia e a sofisticação de suas táticas. A empresa Recorded Future destacou que esses ataques refletem o interesse da inteligência russa em organizações ligadas à pesquisa energética e à cooperação em defesa.

O grupo de ameaças patrocinado pelo Estado russo, conhecido como APT28, está conduzindo uma campanha de roubo de credenciais direcionada a usuários do serviço de webmail e notícias UKR.net, popular na Ucrânia. Observada entre junho de 2024 e abril de 2025 pela Recorded Future, essa atividade se baseia em ataques anteriores que utilizavam malware e páginas de phishing. APT28, também conhecido como Fancy Bear, é associado ao GRU, a principal agência de inteligência militar da Rússia.

A empresa de cibersegurança Kroll revelou uma campanha de espionagem sofisticada utilizando um malware inédito chamado GONEPOSTAL, atribuído ao grupo de ameaças patrocinado pelo estado russo KTA007, conhecido como Fancy Bear ou APT28. Este malware inova ao usar a funcionalidade de e-mail do Microsoft Outlook como um canal oculto para comunicações de comando e controle (C2).

A arquitetura do GONEPOSTAL é composta por um dropper DLL malicioso e um arquivo VbaProject.OTM protegido por senha, que contém macros do Outlook. O ataque inicia com a execução de um DLL malicioso que se disfarça como uma biblioteca legítima da Microsoft, redirecionando funções para garantir a funcionalidade normal do aplicativo enquanto executa código malicioso.

O grupo de hackers patrocinado pelo Estado russo, conhecido como APT28, foi associado a um novo backdoor no Microsoft Outlook, denominado NotDoor, que tem como alvo diversas empresas em países membros da OTAN. Segundo a equipe de inteligência de ameaças LAB52, o NotDoor é um macro VBA que monitora e-mails recebidos em busca de uma palavra-chave específica. Ao detectar um e-mail com essa palavra, o malware permite que o atacante exfiltre dados, faça upload de arquivos e execute comandos no computador da vítima.