Una vulnerabilidad crítica de Microsoft Office, corregida de forma urgente a finales de enero, ya está siendo explotada activamente por ciberdelincuentes vinculados a Rusia en campañas de ciberespionaje dirigidas contra organismos gubernamentales y entidades europeas. Así lo ha confirmado el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), que ha detectado el uso malicioso del fallo apenas unos días después de que Microsoft publicara el parche de seguridad.

El fallo, identificado como CVE-2026-21509, afecta a múltiples versiones de Microsoft Office y fue catalogado inicialmente como un zero-day, ya que estaba siendo explotado antes de que existiera una actualización oficial. El 26 de enero, Microsoft lanzó un parche de emergencia fuera de su ciclo habitual de actualizaciones tras confirmar la explotación activa de la vulnerabilidad en ataques reales.

Documentos maliciosos camuflados como comunicaciones oficiales

Según ha detallado CERT-UA, los ciberdelincuentes comenzaron a distribuir documentos DOC maliciosos solo tres días después de que Microsoft emitiera la alerta pública. Estos archivos estaban cuidadosamente diseñados para parecer comunicaciones legítimas relacionadas con consultas del COREPER de la Unión Europea sobre Ucrania, un tema de especial sensibilidad en el actual contexto geopolítico.

En otros casos analizados por la agencia ucraniana, los correos electrónicos suplantaban al Centro Hidrometeorológico de Ucrania y fueron enviados a más de 60 direcciones vinculadas a organismos gubernamentales. El objetivo era claro: aumentar las probabilidades de que los destinatarios abrieran los archivos adjuntos sin sospechar que se trataba de un ataque dirigido.

Un detalle especialmente revelador es que los metadatos de al menos uno de los documentos indican que fue creado un día después de que Microsoft publicara el parche de emergencia. Este dato demuestra la rapidez con la que los ciberdelincuentes analizaron la actualización para desarrollar exploits funcionales, una práctica cada vez más común entre grupos de amenazas avanzadas.

APT28, detrás de la campaña

CERT-UA atribuye la campaña al grupo de ciberespionaje APT28, también conocido como Fancy Bear o Sofacy. Este actor está vinculado desde hace años al GRU, el servicio de inteligencia militar ruso, y ha sido relacionado con numerosas operaciones de alto impacto contra gobiernos, fuerzas armadas y organizaciones internacionales.

La cadena de infección comienza cuando la víctima abre el documento malicioso. En ese momento, se activa un mecanismo de descarga basado en WebDAV que aprovecha la vulnerabilidad CVE-2026-21509 para ejecutar código en el sistema afectado sin que el usuario sea consciente de ello.

Una cadena de ataque sofisticada

El ataque no se limita a un único vector. Según el informe técnico de CERT-UA, la explotación despliega una cadena compleja que incluye varias técnicas avanzadas de persistencia y evasión:

  • Secuestro de objetos COM (COM hijacking) para garantizar la ejecución del código malicioso.

  • Una DLL maliciosa, identificada como EhStoreShell.dll.

  • Shellcode oculto en un archivo de imagen, aparentemente inofensivo, denominado SplashScreen.png.

  • Una tarea programada llamada OneDriveHealth, diseñada para mantener la persistencia en el sistema.

La ejecución de esta tarea provoca la finalización y posterior reinicio del proceso explorer.exe. Este comportamiento, combinado con el secuestro de COM, garantiza que la DLL maliciosa se cargue automáticamente cada vez que el usuario inicia sesión. Desde ahí, la DLL ejecuta el shellcode oculto en la imagen, que a su vez lanza el framework malicioso COVENANT en el equipo comprometido.

No es la primera vez que este cargador aparece en campañas atribuidas a APT28. CERT-UA ya lo había vinculado a ataques detectados en junio de 2025, cuando el grupo explotó conversaciones en Signal para distribuir otros implantes, como BeardShell y SlimAgent, contra organizaciones gubernamentales ucranianas.

Uso de servicios en la nube para el control remoto

Uno de los aspectos más preocupantes de esta campaña es el uso de servicios legítimos para las comunicaciones de comando y control (C2). En este caso, COVENANT utiliza la plataforma de almacenamiento en la nube Filen (filen.io) para recibir instrucciones y exfiltrar información de los sistemas comprometidos.

El empleo de servicios cloud ampliamente utilizados dificulta la detección, ya que el tráfico puede confundirse con actividad legítima. Aun así, CERT-UA recomienda monitorizar de forma específica las conexiones asociadas a esta plataforma o bloquearlas completamente en aquellos entornos donde no sea necesaria, como medida preventiva.

MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre