Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Negli ultimi giorni, APT28, noto gruppo di hacker legato alla Russia, ha intensificato gli attacchi sfruttando una vulnerabilità di Microsoft Office. La falla, catalogata come CVE‑2026‑21509, è stata resa pubblica da Microsoft pochi giorni prima dell’inizio della campagna.
I bersagli principali sono stati utenti in Ucraina, Slovacchia e Romania, colpiti attraverso file apparentemente innocui.
Il bug, con un punteggio CVSS di 7.8, permette l’esecuzione di codice remoto tramite file RTF costruiti ad hoc. Gli attaccanti hanno implementato misure di geofencing, servendo il malware solo se le richieste provenivano dai paesi target. Le email di phishing contenevano testi in lingua locale e inglese, aumentando le possibilità di apertura.
Il primo payload distribuito è MiniDoor, un malware leggero scritto in C++ che raccoglie e invia email da varie cartelle ai server controllati dagli attaccanti. MiniDoor è una versione ridotta di GONEPOSTAL, noto anche come NotDoor, già osservato in campagne precedenti.
Il secondo dropper è PixyNetLoader, che consente la persistenza tramite COM hijacking. Questo loader scarica ulteriori payload, tra cui un file PNG contenente shellcode cifrato con XOR, che viene poi eseguito come codice malevolo. La catena si conclude con il caricamento di un implant Grunt basato sul framework Covenant, garantendo accesso continuo al sistema compromesso.
Le tecniche utilizzate includono cifratura, proxy DLL e controlli ambientali per evitare sandbox o analisi automatizzate. La campagna ricorda la precedente Operation PhantomNet, osservata da Zscaler nel settembre 2025, per quanto riguarda le metodologie di attacco sofisticate.
Il CERT-UA ha confermato l’abuso della vulnerabilità CVE‑2026‑21509 e ha rilevato documenti malevoli distribuiti tramite email mirate a enti governativi. L’apertura dei file RTF attiva connessioni WebDAV verso server esterni, che forniscono i payload successivi, replicando la catena PixyNetLoader.
Questa strategia mostra come APT28 abbia evoluto le sue tecniche: dai vecchi macro VBA agli attuali dropper DLL e shellcode cifrati. La precisione nella scelta del target e l’uso di controlli regionali evidenziano un’azione mirata e sofisticata, lontana dai tipici attacchi casuali.
Secondo Zscaler ThreatLabz, l’uso combinato di MiniDoor e PixyNetLoader crea un ecosistema di spionaggio completo, capace di raccogliere informazioni sensibili con continuità.
Gli attacchi di questo tipo sottolineano quanto sia cruciale aggiornare regolarmente il software e mantenere alta l’attenzione verso file sospetti. Anche documenti apparentemente innocui possono nascondere strumenti avanzati di spionaggio informatico.
La campagna dimostra la crescente sofisticazione dei gruppi APT e l’importanza di strategie difensive multilivello. La sicurezza digitale richiede vigilanza costante, consapevolezza e strumenti aggiornati, perché il rischio reale non è più un’intrusione casuale, ma un attacco chirurgico e mirato.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
