Microsoft Office: abre un documento y pierdes los datos — explicamos cómo se explota un nuevo 0-day

El grupo APT28 comenzó a utilizar una nueva vulnerabilidad en Microsoft Office poco después de su divulgación pública. Según los investigadores, los ataques comenzaron ya tres días después y se dirigieron a usuarios en Ucrania, Eslovaquia y Rumania.

Los especialistas de Zscaler informaron que la campaña recibió el nombre Operation Neusploit. En la base de los ataques está la vulnerabilidad CVE-2026-21509 con una puntuación CVSS de 7.8. El problema permite eludir los mecanismos de protección de Office. Al atacante le basta enviar un archivo especialmente preparado que, al abrirse, ejecuta código malicioso.

La vulnerabilidad fue descubierta y remitida al desarrollador por especialistas del centro de análisis de amenazas de Microsoft, del centro de respuesta a incidentes de seguridad de Microsoft, del equipo de seguridad de Office, así como por el grupo de análisis de amenazas de Google. Los investigadores señalan que para engañar a las víctimas se utilizaron correos y documentos en inglés, rumano, eslovaco y ucraniano. Los servidores de los atacantes aplicaban filtrado de solicitudes y entregaban los módulos maliciosos solo si la petición provenía del país objetivo y contenía los encabezados del navegador adecuados.

El ataque comienza con un documento RTF malicioso. A través de él se descarga en el dispositivo uno de dos cargadores. El primero instala el módulo de robo de correo MiniDoor. Está escrito en C++ y extrae correos de las carpetas «Recibidos», «Spam» y «Borradores», tras lo cual los envía a direcciones predeterminadas de los atacantes. Según los analistas, MiniDoor es una versión simplificada de la herramienta previamente conocida NotDoor.

El segundo cargador, llamado PixyNetLoader, despliega una cadena de infección más compleja. Se persiste en el sistema mediante la suplantación de objetos COM y extrae componentes adicionales, entre ellos un módulo ejecutor de código y una imagen en formato PNG. En la imagen se oculta código máquina mediante esteganografía. El cargador lo extrae y lo ejecuta, pero solo si comprueba que no está en un entorno de análisis y que se ha iniciado desde el proceso del Explorador de Windows. En caso contrario, la actividad maliciosa no se manifiesta.

Finalmente, en el sistema se carga un componente de la plataforma de administración remota Covenant, escrita en .NET. APT28 ya había empleado técnicas similares en otra campaña que especialistas en seguridad describieron en 2025. Entonces se utilizaron macros; ahora han sido sustituidas por una biblioteca DLL, pero los métodos de persistencia, el cifrado de cadenas y la ocultación de código en imágenes se mantienen igual.

Al mismo tiempo, el equipo gubernamental de respuesta a incidentes informáticos de Ucrania informó sobre su propia investigación de estos ataques. Según sus datos, los atacantes enviaron documentos de Word a más de 60 direcciones de organismos centrales del poder ejecutivo. Uno de los archivos señuelo fue creado el 27 de enero de 2026. Al abrir el documento se establecía una conexión con un servidor externo mediante el protocolo WebDAV, tras lo cual se descargaba un archivo con un acceso directo que iniciaba la cadena de infección. Esta coincide totalmente con el esquema de PixyNetLoader y también conduce a la instalación del módulo de control Covenant.