Recurso de ciberataque en Rusia. - DC STUDIO VÍA FREEPIK.
MADRID, 4 Feb. (Portaltic/EP) -
El Equipo de Respuesta a Emergencias Informáticas (CERT) de Ucrania ha alertado sobre una serie de ciberataques llevados a cabo por 'hackers' rusos aprovechando una vulnerabilidad en Office días después de que Microsoft la parcheara.
El pasado 26 de enero, Microsoft lanzó una actualización de seguridad en la que señalaba a CVE-2026-21509 como una vulnerabilidad explotada activamente que permitía a un atacante sobresapar una característica de seguridad local, y que afectaba a Office.
Los consistían en la distribución de archivos doc. maliciosos adjuntados en correos remitidos supuestamente por el Comité de Representantes Permanentes (Coreper) en Ucrania o que se hacían pasar por el Centro Hidrometeorológico de Ucrania, que se enviaron a 60 direcciones vinculadas al gobierno ucraniano.
A pesar de que los documentos se enviaron tres días después del aviso de Microsoft, el CERT ucraniano ha afirmado en su informe que los metadatos asociados a los archivos muestran que se crearon un día después de la actualización de seguridad.
Al abrirse estos documentos maliciosos, se activa una cadena de descargas que instalan 'malware' a través de la técnica conocida como 'COM hijacking' o secuestro del Modelo de Objetos Componentes de Windows. Entre estas descargas se encuentran una DLL maliciosa (EhStoreShell.dll), un código shell oculto en un archivo de imagen (SplashScreen.png) y una tarea programada (OneDriveHealth).
El informe ucraniano ha explicado que la ejecución programada de la tarea provoca la finalización y el reinicio de explorer.exe, lo que garantiza la carga del archivo DLL EhStoreShell.dll, que ejecutará el 'shellcode' del archivo de imagen, así como el inicio de la herramienta de 'software' COVENANT en el equipo, que utiliza el almacenamiento en la nube.
El organismo ucraniano ha atribuido estos ciberataques al grupo APT28, también conocido como Fancy Bear y Sofacy, asociado con la Dirección Principal de Inteligencia del Estado Mayor de Rusia (GRU), al que acusan también de llevar a cabo ciberataques contra organizaciones con sede en la Unión Europea.
Por su parte, Microsoft ha agregado una capa de protección adicional a Defender al bloquear archivos maliciosos de Office originados en Internet, salvo que el usuario los marque como "confiables".