Investigadores confirman que la inteligencia militar rusa ha estado utilizando el parche de emergencia de Microsoft del 26 de enero como vector para una sofisticada campaña de espionaje contra entidades gubernamentales en Europa.
Apenas una semana después de que Microsoft lanzara un parche “fuera de banda” para corregir un fallo crítico en Office, ya sabemos quién forzó esa urgencia. Hoy 3 de febrero de 2026, los detalles de la “Operación Neusploit”, una campaña activa orquestada por el grupo APT28 (también conocido como Fancy Bear, Forest Blizzard o UAC-0001).
Este grupo, vinculado al GRU ruso, ha estado explotando la vulnerabilidad CVE-2026-21509 (Bypass de Características de Seguridad) para infiltrarse en ministerios y autoridades ejecutivas, especialmente en Ucrania y Europa del Este, utilizando documentos RTF que parecen inofensivos pero que ocultan una cadena de infección moderna y modular.
El Vector: CVE-2026-21509
La vulnerabilidad permite a los atacantes eludir las protecciones locales de Office (como la Vista Protegida) mediante el manejo inseguro de “entradas no confiables”.
- El Cebo: Los ataques comienzan con correos de phishing dirigidos (spear-phishing) que adjuntan documentos con extensiones .rtf o .doc.
- La Ejecución: Al abrir el archivo, se dispara el exploit que establece una conexión WebDAV oculta para descargar la siguiente etapa del ataque, evitando los filtros de tráfico tradicionales que suelen inspeccionar HTTP/HTTPS pero ignoran WebDAV.
El Arsenal: MiniDoor y PixyNetLoader
Lo más destacado de la Operación Neusploit es la renovación del arsenal de APT28. Ya no dependen solo de viejas macros VBA; ahora utilizan técnicas de “DLL Sideloading” y esteganografía.
- MiniDoor (El Ladrón de Correos):
- Es una variante ligera y especializada del backdoor “NotDoor”.
- Su función es quirúrgica: robar correos electrónicos de carpetas específicas (Bandeja de Entrada, Spam, Borradores) y reenviarlos automáticamente a direcciones controladas por los atacantes (como ahmeclaw2002@outlook.com o cuentas en ProtonMail).
- Está escrito en C++ y diseñado para operar silenciosamente en segundo plano, sin realizar movimientos laterales ruidosos que alerten a los EDR.
- PixyNetLoader:
- Un cargador avanzado que utiliza Esteganografía. Descarga una imagen PNG aparentemente normal, pero dentro de los píxeles de la imagen se oculta el código malicioso (shellcode) cifrado.
- Este cargador es responsable de desplegar implantes más pesados, como el framework Covenant Grunt, que otorga control total sobre la máquina infectada.
Evasión Geográfica
APT28 ha implementado controles estrictos en sus servidores de comando y control (C2).
- Si una solicitud de descarga del malware proviene de una dirección IP fuera de la región objetivo (Europa del Este/Ucrania) o no tiene el “User-Agent” correcto, el servidor no entrega la carga útil, dificultando el análisis por parte de investigadores de seguridad en EE. UU. o Asia.
¿Qué debes hacer?
La confirmación de que un actor estatal como APT28 está usando este exploit eleva la urgencia de parchear a nivel CRÍTICO.
- Parchear Office: Si aún no has aplicado la actualización del 26 de enero para Office 2016, 2019 o LTSC 2021/2024, hazlo hoy.
- Bloquear WebDAV: Restringe el tráfico WebDAV saliente en tu firewall perimetral si no es estrictamente necesario para el negocio, ya que es el canal principal de descarga de la segunda etapa.
- Monitoreo de Tráfico: Vigila conexiones hacia servicios de correo personal (Outlook/ProtonMail) que originen desde procesos inusuales en los endpoints, un indicador clave de la exfiltración de MiniDoor.
