Patch non ancora installate, exploit già in uso: il caso Office, CVE-2026-21509 e APT28

La recente attività osservata dal Computer Emergency Response Team ucraino conferma ancora una volta come le vulnerabilità zero-day nei prodotti di largo utilizzo restino uno degli strumenti preferiti dai criminali informatici, in special modo quelli finanziati dallo Stato, per condurre operazioni di cyber-spionaggio mirate. Al centro di questa campagna si colloca CVE-2026-21509, una falla critica in diverse versioni di Microsoft Office, già sfruttata attivamente pochi giorni prima del rilascio di una patch di emergenza out-of-band da parte di Microsoft.

A distanza pochi giorni, i responsabili del CERT-UA hanno individuato una serie di documenti DOC malevoli utilizzati in campagne di phishing altamente contestualizzate, a dimostrazione di una preparazione operativa che prescinde dalla disponibilità pubblica della patch.

Documenti-esca ed attacchi mirati

I file individuati risultano costruiti con estrema attenzione al contesto geopolitico. Alcuni documenti richiamavano presunte consultazioni COREPER dell’Unione Europea in relazione all’Ucraina, mentre altre email impersonavano il Centro Idrometeorologico Ucraino, raggiungendo oltre 60 indirizzi riconducibili a enti governativi e organizzazioni collegate allo Stato.

Un elemento particolarmente significativo emerge dall’analisi dei metadati: uno dei documenti risulta creato il giorno successivo al rilascio dell’aggiornamento di emergenza Microsoft. Un indizio che l’ipotesi di attaccanti già in possesso di exploit funzionanti e pronti all’uso, adattati rapidamente per aggirare ambienti non ancora aggiornati o configurazioni deboli.

Catena di infezione: WebDAV, COM hijacking e shellcode offuscato

Dal punto di vista tecnico, l’apertura del documento Office malevolo attiva una catena di compromissione multilivello. L’exploit di CVE-2026-21509 consente l’innesco di un download tramite WebDAV, seguito da una tecnica di COM hijacking che forza il caricamento di una DLL malevola, identificata come EhStoreShell.dll.

Una volta aperto il documento Office su sistemi vulnerabili, esso forza una connessione verso una risorsa remota tramite il protocollo WebDAV. La scelta non è casuale: WebDAV è spesso consentito in ambienti enterprise per esigenze operative legittime e permette di montare risorse remote come se fossero directory locali. Questo modus operandi permette di scaricare un set iniziale di componenti malevoli senza ricorrere a meccanismi di download espliciti facilmente intercettabili.

Il passo successivo sfrutta una tecnica di COM hijacking, che consiste nella manipolazione delle chiavi di registro associate a oggetti COM legittimi. Gli attaccanti modificano il percorso di caricamento di una classe COM in modo che, al posto della libreria originale, sia caricata la DLL malevola EhStoreShell.dll citata in precedenza.

Poiché l’oggetto COM è istanziato da processi di sistema affidabili, il caricamento della DLL avviene in un contesto che eredita fiducia e privilegi, riducendo la probabilità di blocco da parte dei controlli comportamentali.

Un passaggio particolarmente raffinato riguarda l’uso di shellcode nascosto all’interno di un file immagine (SplashScreen.png), che riduce la probabilità di rilevamento da parte dei controlli di sicurezza statici. La persistenza è garantita tramite un’attività pianificata denominata OneDriveHealth, progettata per terminare e riavviare explorer.exe. Il meccanismo assicura il caricamento ricorrente della DLL compromessa e l’esecuzione del payload finale.

Il risultato è l’avvio del framework COVENANT, una piattaforma command and control ampiamente utilizzata in contesti di red teaming e, sempre più spesso, riadattata in operazioni offensive reali.

Attribuzione e continuità operativa di APT28

L’analisi tecnica ha portato CERT-UA ad attribuire l’operazione ad APT28, gruppo noto anche come Fancy Bear o Sofacy, storicamente associato alla Direzione Principale dell’Intelligence dello Stato Maggiore russo (GRU). L’attribuzione non sorprende, considerando la continuità con precedenti campagne contro obiettivi governativi ucraini ed europei.

Già nel 2025, lo stesso attore era stato collegato a operazioni che sfruttavano conversazioni sull’app di messsaggistica Signal come vettore iniziale, culminando nella distribuzione di malware come BeardShell e SlimAgent. L’attuale campagna si inserisce dunque in una strategia di lungo periodo, caratterizzata da adattabilità tecnica e da una chiara focalizzazione su obiettivi istituzionali.

Ulteriori approfondimenti hanno rivelato l’uso di almeno altri tre documenti malevoli contro organizzazioni con sede nell’Unione Europea. In uno dei casi osservati, i domini di supporto all’operazione risultavano registrati nello stesso giorno, suggerendo un’infrastruttura predisposta in modo coordinato e con tempistiche estremamente strette.

Tale elemento conferma che l’operazione non può essere considerata limitata al solo contesto ucraino, ma rientra in una più ampia attività di raccolta informativa e pressione strategica verso istituzioni europee ed obiettivi aziendali di elevato profilo.

Mitigazioni e considerazioni difensive

Dal punto di vista difensivo, la raccomandazione primaria resta l’applicazione immediata degli aggiornamenti di sicurezza per Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 e Microsoft 365 Apps. Per le versioni più recenti è fondamentale assicurarsi che le applicazioni vengano riavviate, consentendo l’effettiva attivazione delle patch.

Laddove l’aggiornamento immediato non sia possibile, l’adozione delle mitigazioni basate su registro, descritte nel nostro articolo sulla vulnerabilità CVE-2026-21509, rappresenta una misura temporanea ma necessaria. Anche perché, le modalità di sfruttamento della vulnerabilità in questione stanno divenendo di pubblico dominio e non sono escluse aggressioni che coinvolgano professionisti e imprese, all’infuori quindi del circuito istituzionale.

In parallelo, funzionalità come Visualizzazione Protetta continuano a offrire un livello di protezione aggiuntivo, bloccando l’esecuzione automatica di file provenienti da Internet se non esplicitamente autorizzati.