Nhóm tấn công do nhà nước bảo trợ có liên hệ với Nga, được biết đến với tên APT28 (còn gọi là UAC-0001), đã bị quy kết thực hiện các cuộc tấn công khai thác lỗ hổng bảo mật mới được công bố trong Microsoft Office, thuộc chiến dịch có tên mã Operation Neusploit.
Zscaler ThreatLabz cho biết họ đã quan sát thấy nhóm tin tặc này vũ khí hóa lỗ hổng vào ngày 29 tháng 1 năm 2026, trong các cuộc tấn công nhắm vào người dùng ở Ukraine, Slovakia và Romania, ba ngày sau khi Microsoft công bố công khai về sự tồn tại của lỗi này.
Lỗ hổng được đề cập là CVE-2026-21509 (điểm CVSS: 7.8), một lỗi bỏ qua tính năng bảo mật trong Microsoft Office có thể cho phép kẻ tấn công trái phép gửi một tệp Office được tạo đặc biệt và kích hoạt nó.
"Các mồi nhử kỹ thuật xã hội được tạo ra bằng tiếng Anh và các ngôn ngữ bản địa (Romania, Slovakia và Ukraine) để nhắm mục tiêu vào người dùng ở các quốc gia tương ứng," các nhà nghiên cứu bảo mật Sudeep Singh và Roy Tay cho biết. "Kẻ tấn công đã sử dụng các kỹ thuật né tránh phía máy chủ, chỉ phản hồi bằng DLL độc hại khi các yêu cầu đến từ khu vực địa lý được nhắm mục tiêu và bao gồm User-Agent HTTP header chính xác."
Tóm lại, chuỗi tấn công bao gồm việc khai thác lỗ hổng bảo mật thông qua một tệp RTF độc hại để phân phối hai phiên bản dropper khác nhau: một được thiết kế để thả một công cụ đánh cắp email Outlook có tên MiniDoor, và một công cụ khác, được gọi là PixyNetLoader, chịu trách nhiệm triển khai implant Covenant Grunt.
MiniDoor và PixyNetLoader: Hai nhánh tấn công chính
Dropper đầu tiên đóng vai trò là con đường để phân phối MiniDoor, một tệp DLL dựa trên C++ dùng để đánh cắp email của người dùng trong các thư mục khác nhau (Inbox, Junk và Drafts) và chuyển tiếp chúng đến hai địa chỉ email của kẻ tấn công được mã hóa cứng: ahmeclaw2002@outlook[.]com và ahmeclaw@proton[.]me. MiniDoor được đánh giá là phiên bản rút gọn của NotDoor (còn gọi là GONEPOSTAL), vốn được S2 Grupo LAB52 ghi nhận vào tháng 9 năm 2025.
Ngược lại, dropper thứ hai, tức là PixyNetLoader, được sử dụng để khởi tạo một chuỗi tấn công phức tạp hơn nhiều, bao gồm việc phân phối các thành phần bổ sung được nhúng vào nó và thiết lập duy trì trên máy chủ bằng cách sử dụng COM object hijacking. Trong số các payload được trích xuất có một shellcode loader ("EhStoreShell.dll") và một ảnh PNG ("SplashScreen.png").
Nhiệm vụ chính của loader là phân tích shellcode được che giấu bằng steganography trong hình ảnh và thực thi nó. Tuy nhiên, loader chỉ kích hoạt logic độc hại của nó nếu máy bị nhiễm không phải là môi trường phân tích và khi tiến trình máy chủ khởi chạy DLL là "explorer.exe." Phần mềm độc hại sẽ ở trạng thái ngủ đông nếu các điều kiện không được đáp ứng.
Cuối cùng, shellcode được trích xuất được sử dụng để tải một .NET assembly được nhúng, không gì khác ngoài một Grunt implant liên quan đến framework command-and-control (C2) COVENANT .NET mã nguồn mở. Đáng chú ý là việc APT28 sử dụng Grunt Stager đã được nhấn mạnh bởi Sekoia vào tháng 9 năm 2025 liên quan đến một chiến dịch có tên Operation Phantom Net Voxel.
Cảnh báo từ CERT-UA
Thông tin này trùng hợp với một báo cáo từ Đội Ứng phó Khẩn cấp Máy tính của Ukraine (CERT-UA), cũng cảnh báo về việc APT28 lạm dụng CVE-2026-21509 bằng cách sử dụng các tài liệu Word để nhắm mục tiêu vào hơn 60 địa chỉ email liên quan đến các cơ quan hành pháp trung ương trong nước. Phân tích siêu dữ liệu cho thấy một trong các tài liệu mồi nhử được tạo vào ngày 27 tháng 1 năm 2026.
"Trong quá trình điều tra, đã phát hiện ra rằng việc mở tài liệu bằng Microsoft Office dẫn đến việc thiết lập kết nối mạng với một tài nguyên bên ngoài sử dụng giao thức WebDAV, sau đó tải xuống một tệp có tên tệp shortcut chứa mã chương trình được thiết kế để tải xuống và chạy một tệp thực thi," CERT-UA cho biết.
Điều này, đến lượt nó, kích hoạt một chuỗi tấn công giống hệt PixyNetLoader, dẫn đến việc triển khai Grunt implant của framework COVENANT.
