INSPECTING ARCHIVED INTELLIGENCE (OUTDATED VERSION).
Microsoft Office CVE-2026-21509 Exploit Used in Fancy Bear Attacks
| 2026-02-03 10:33 CRITICAL HIGHExecutive Summary AI-generated
The vulnerability, CVE-2026-21509, has been exploited by Russian cybercriminals linked to the Computer Emergency Response Team of Ukraine (CERT-UA) just days after Microsoft released a security patch. The malicious use of this bug is part of ongoing cyber-espionage campaigns against government bodies and European entities. CERT-UA had previously detected similar activity in June 2025, when groups like Ciberdelincuentes rusos exploded talks to distribute other implants such as BeardShell and SlimAgent against Ukrainian government organizations. This vulnerability affects multiple versions of Microsoft Office and was initially catalogued as a zero-day before an official update.
Technical Mitigations AI-generated
* Keep software and operating systems up to date: Ensure that all Microsoft Office applications, as well as other critical system components, are running with the latest security patches. This will help prevent exploitation of known vulnerabilities like CVE-2026-21509.
* Use strong antivirus protection: Install and regularly update antivirus software to detect and block malicious files, including those used in APT28's attacks.
* Be cautious when opening attachments from unknown sources: Avoid opening documents or emails that you don't recognize as legitimate. If in doubt, contact the sender to verify the authenticity of the message.
* Use secure communication channels: When communicating with government agencies or other entities, use secure protocols like Signal or encrypted email services (e.g., ProtonMail) instead of cloud-based services for command and control communications (C2).
* Monitor system logs and behavior: Regularly review system logs to detect any suspicious activity. Also, monitor system performance and behavior to identify potential security threats early on.
* Implement a firewall and network segmentation: Configure firewalls and segment your network to limit access to critical systems and prevent lateral movement in case of an attack.
Note: These mitigations are not foolproof and should be used as part of a comprehensive cybersecurity strategy.
Technical Observables
AI Podcast (EN) detail_available
detail_listen_ai (EN)
Intelligence Metadata
Actors / Malware / CVEs / Campaigns
APT28APT28
SofacySofacy
CVE-2026-21509CVE-2026-21509
Target & Sectors
EUROPE
EUROPE
FIVE_EYES
FIVE_EYES
healthcarehealthcare
mediamedia
educationeducation
legallegal
governmentgovernment
retailretail
manufacturingmanufacturing
financefinance
Incident Timeline
June 2025
Threat actors used Microsoft Office to target Ukrainian government organizations.
Click on any entity below to view its context and source!
attribution
CERT-UA
CERT-UA had already linked it to attacks detected in June 2025, when the group exploded talks in Signal to distribute other implants, such as BeardShell and SlimAgent, against Ukrainian government organizations.
industry
Government
CERT-UA had already linked it to attacks detected in June 2025, when the group exploded talks in Signal to distribute other implants, such as BeardShell and SlimAgent, against Ukrainian government organizations.
target_region
Ukraine
CERT-UA had already linked it to attacks detected in June 2025, when the group exploded talks in Signal to distribute other implants, such as BeardShell and SlimAgent, against Ukrainian government organizations.
attribution
Signal
CERT-UA had already linked it to attacks detected in June 2025, when the group exploded talks in Signal to distribute other implants, such as BeardShell and SlimAgent, against Ukrainian government organizations.
attribution
BeardShell
CERT-UA had already linked it to attacks detected in June 2025, when the group exploded talks in Signal to distribute other implants, such as BeardShell and SlimAgent, against Ukrainian government organizations.
attribution
SlimAgent
CERT-UA had already linked it to attacks detected in June 2025, when the group exploded talks in Signal to distribute other implants, such as BeardShell and SlimAgent, against Ukrainian government organizations.
late January 2026
Threat actors used a recently patched Microsoft Office vulnerability to exploit it in three additional documents targeting organizations in EU countries.
January 26
Threat actors exploited a recently patched vulnerability in Microsoft Office.
Click on any entity below to view its context and source!
organisation
Microsoft
On January 26, Microsoft released an emergency patch out of its usual cycle of updates after confirming the active exploitation of vulnerability in real attacks.
infrastructure
Microsoft Office
Disclosed by Microsoft on January 26, the flaw is an over-reliance on untrusted inputs in a security decision in Microsoft Office.
January 26, 2026
Threat actors exploited a recently patched vulnerability in Microsoft Office.
Click on any entity below to view its context and source!
infrastructure
Microsoft Office
Image 12: Facebook logo
On January 26, 2026, Microsoft released an out-of-band update to address a high-severity (CVSS score of 7.8) vulnerability affecting multiple Microsoft Office products.
vulnerability
CVSS score of 7.8
Image 12: Facebook logo
On January 26, 2026, Microsoft released an out-of-band update to address a high-severity (CVSS score of 7.8) vulnerability affecting multiple Microsoft Office products.
infrastructure
7.8
Image 12: Facebook logo
On January 26, 2026, Microsoft released an out-of-band update to address a high-severity (CVSS score of 7.8) vulnerability affecting multiple Microsoft Office products.
January 27, 2026
Threat actors exploited a recently patched vulnerability in Microsoft Office.
Click on any entity below to view its context and source!
vulnerability
CVE-2026-21509
* Get started
Microsoft Office vulnerability (CVE-2026-21509) in active exploitation
======================================================================
January 27, 2026
!
infrastructure
Microsoft Office
* Get started
Microsoft Office vulnerability (CVE-2026-21509) in active exploitation
======================================================================
January 27, 2026
!
January 27
Threat actors exploited a recently patched vulnerability in Microsoft Office.
January 29
Threat actors exploited a previously unknown vulnerability in Microsoft Office before its official disclosure.
Click on any entity below to view its context and source!
attribution
CVE-2026-21509
CVE-2026-21509 Exploited Before Disclosure
Specifically, CERT-UA reported the finding of a Word DOC file named ‘Consultation_Topics_Ukraine(Final).doc’ on January 29.
attribution
CERT-UA
CVE-2026-21509 Exploited Before Disclosure
Specifically, CERT-UA reported the finding of a Word DOC file named ‘Consultation_Topics_Ukraine(Final).doc’ on January 29.
attribution
DOC
CVE-2026-21509 Exploited Before Disclosure
Specifically, CERT-UA reported the finding of a Word DOC file named ‘Consultation_Topics_Ukraine(Final).doc’ on January 29.
February 2
Threat actors exploited a recently patched vulnerability in Microsoft Office.
Click on any entity below to view its context and source!
attribution
CERT-UA
The warning was
published on February 2
by the
Computer Emergency Response Team
of Ukraine (CERT-UA), the country’s national cyber threat intelligence unit.
target_region
Ukraine
The warning was
published on February 2
by the
Computer Emergency Response Team
of Ukraine (CERT-UA), the country’s national cyber threat intelligence unit.
attribution
the
Computer Emergency Response Team
of
The warning was
published on February 2
by the
Computer Emergency Response Team
of Ukraine (CERT-UA), the country’s national cyber threat intelligence unit.
2016, 2019
Threat actors exploited a recently patched vulnerability in Microsoft Office 2016 and its variants.
Click on any entity below to view its context and source!
vulnerability
CVE-2026-21509
The file contained an exploit for CVE-2026-21509,
a high-severity vulnerability
(with a CVSS 3.1 score of 7.8) affecting several versions of Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 and Microsoft 365 Apps for Enterprise.
organisation
Microsoft
The file contained an exploit for CVE-2026-21509,
a high-severity vulnerability
(with a CVSS 3.1 score of 7.8) affecting several versions of Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 and Microsoft 365 Apps for Enterprise.
infrastructure
7.8
The file contained an exploit for CVE-2026-21509,
a high-severity vulnerability
(with a CVSS 3.1 score of 7.8) affecting several versions of Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 and Microsoft 365 Apps for Enterprise.
infrastructure
Microsoft 365
The file contained an exploit for CVE-2026-21509,
a high-severity vulnerability
(with a CVSS 3.1 score of 7.8) affecting several versions of Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 and Microsoft 365 Apps for Enterprise.
general_metric
365 Microsoft
The file contained an exploit for CVE-2026-21509,
a high-severity vulnerability
(with a CVSS 3.1 score of 7.8) affecting several versions of Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 and Microsoft 365 Apps for Enterprise.
infrastructure
Microsoft Office 2016
The file contained an exploit for CVE-2026-21509,
a high-severity vulnerability
(with a CVSS 3.1 score of 7.8) affecting several versions of Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 and Microsoft 365 Apps for Enterprise.
vulnerability
CVSS 3.1
The file contained an exploit for CVE-2026-21509,
a high-severity vulnerability
(with a CVSS 3.1 score of 7.8) affecting several versions of Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 and Microsoft 365 Apps for Enterprise.
infrastructure
3.1
The file contained an exploit for CVE-2026-21509,
a high-severity vulnerability
(with a CVSS 3.1 score of 7.8) affecting several versions of Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 and Microsoft 365 Apps for Enterprise.
organisation
LTSC 2021
The file contained an exploit for CVE-2026-21509,
a high-severity vulnerability
(with a CVSS 3.1 score of 7.8) affecting several versions of Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 and Microsoft 365 Apps for Enterprise.
organisation
LTSC 2024
The file contained an exploit for CVE-2026-21509,
a high-severity vulnerability
(with a CVSS 3.1 score of 7.8) affecting several versions of Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 and Microsoft 365 Apps for Enterprise.
general_metric
3.1 score
The file contained an exploit for CVE-2026-21509,
a high-severity vulnerability
(with a CVSS 3.1 score of 7.8) affecting several versions of Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 and Microsoft 365 Apps for Enterprise.
general_metric
2021 LTSC
The file contained an exploit for CVE-2026-21509,
a high-severity vulnerability
(with a CVSS 3.1 score of 7.8) affecting several versions of Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 and Microsoft 365 Apps for Enterprise.
general_metric
2024 LTSC
The file contained an exploit for CVE-2026-21509,
a high-severity vulnerability
(with a CVSS 3.1 score of 7.8) affecting several versions of Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 and Microsoft 365 Apps for Enterprise.
2026-02-03
Threat actors used a recently disclosed vulnerability in Microsoft Office to conduct cyber-attacks against Ukrainian and EU organizations.
Click on any entity below to view its context and source!
organisation
Microsoft Office
APT28 Uses Microsoft Office CVE-2026-21509 in Espionage-Focused Malware Attacks.
La vulnerabilidad en cuestión es
CVE-2026-21509
(CVSS puntuación: 7.8), un bypass de funciones de seguridad en Microsoft Office que podría permitir a un atacante no autorizado enviar un archivo de Office especialmente elaborado y activarlo.
The failure, identified as
CVE-2026-21509
, affects multiple versions of Microsoft Office and was initially catalogued as a
zero-day
as it was being exploited before there was an official update.
Microsoft Office vulnerability (CVE-2026-21509) in active exploitation.
se ha atribuido a ataques que explotan una nueva falla de seguridad revelada en Microsoft Office como parte de una operación llamada por código de campaña
Neusploit
.
"Durante la investigación, se encontró que abrir el documento utilizando Microsoft Office conduce a establecer una conexión de red a un recurso externo utilizando el protocolo WebDAV, seguido de descargar un archivo con un nombre de archivo atajo que contiene código de programa diseñado para descargar y ejecutar un archivo ejecutable", dijo CERT-UA.
Esto, a su vez,
Ciberdelincuentes rusos explotan una vulnerabilidad recién parcheada de Microsoft Office.
The issue stems from the application's "reliance on untrusted inputs when making security decisions", which allows attackers to bypass Object Linking and Embedding (OLE) security mitigations built into Microsoft Office and Microsoft 365.
Affected software includes Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024, and Microsoft 365 Apps for Enterprise.
Recommended actions
-------------------
Organizations should identify vulnerable Microsoft Office instances in their environments and apply updates or mitigations as appropriate.
Fancy Bear Exploits Microsoft Office Flaw in Ukraine, EU Cyber-Attacks.
Russian-linked hacking group Fancy Bear (APT28) has reportedly exploited a recently disclosed vulnerability in Microsoft Office to conduct cyber-attacks against Ukrainian and EU organizations.
When exploited, it can enable an attacker to bypass object linking and embedding (OLE) mitigations in Microsoft 365 and Microsoft Office which protect users from vulnerable component object model (COM) and OLE controls.
“Given the likely delay (or inability) of users to update Microsoft Office or apply recommended security measures, the number of cyber-attacks exploiting this vulnerability is expected to increase,” the CERT-UA report noted.
Further CERT-UA analysis revealed that opening the document using Microsoft Office triggered a network connection to an external resource via the WebDAV protocol, followed by the download of a file disguised as a shortcut (LNK) containing malicious code designed to download and execute a payload.
threat_actor
APT28
APT28 Uses Microsoft Office CVE-2026-21509 in Espionage-Focused Malware Attacks.
"
La divulgación
coincidentes
con un informe del Equipo de Respuesta de Emergencia Computadora de Ucrania (CERT-UA) que también advirtió sobre el abuso de APT28 de CVE-2026-21509 utilizando documentos de Word para apuntar más de 60 direcciones de correo electrónico asociadas con las autoridades ejecutivas centrales del país.
Russian-linked hacking group Fancy Bear (APT28) has reportedly exploited a recently disclosed vulnerability in Microsoft Office to conduct cyber-attacks against Ukrainian and EU organizations.
El actor de amenazas patrocinado por el Estado ruso conocido como
APT28
(aka UAC-0001)
uso de APT28 de la Grunt Stager era
destacado
por Sekoia en septiembre de 2025 en relación con una campaña llamada Operación Phantom Net Voxel.
Actualización
En un nuevo informe publicado el 4 de febrero de 2026, Trellix dijo que observó APT28 aprovechando a la Oficina de Microsoft 1 día dentro de las 24 horas de su revelación pública para dirigirse a entidades militares y gubernamentales europeas, especialmente dirigidas a organizaciones marítimas y de transporte en toda Polonia, Eslovenia, Turquía, Grecia, EE.UU.
"Este enfoque multicapa demuestra el desarrollo de APT28 en el mantenimiento del acceso persistente mientras evade la detección en entornos empresariales".
APT28, behind the campaign
CERT-UA attributes the campaign to the cyberespionage group
APT28
also known as Fancy Bear or Sofacy.
This is not the first time this charger has appeared in campaigns attributed to APT28.
organisation
el contrabando de armas transnacionales
En estos ataques, correos electrónicos phishing con narrativas geopolíticamente cargadas relacionadas con el contrabando de armas transnacionales, programas de entrenamiento militar y boletines de emergencia meteorológica contienen documentos armamentizados que explotan CVE-2026-21509 tan pronto como se abren, desencadenando la ejecución de código malicioso sin requerir macros o interacción con el usuario.
organisation
el usuario.
En estos ataques, correos electrónicos phishing con narrativas geopolíticamente cargadas relacionadas con el contrabando de armas transnacionales, programas de entrenamiento militar y boletines de emergencia meteorológica contienen documentos armamentizados que explotan CVE-2026-21509 tan pronto como se abren, desencadenando la ejecución de código malicioso sin requerir macros o interacción con el usuario.
organisation
un
La vulnerabilidad en cuestión es
CVE-2026-21509
(CVSS puntuación: 7.8), un bypass de funciones de seguridad en Microsoft Office que podría permitir a un atacante no autorizado enviar un archivo de Office especialmente elaborado y activarlo.
organisation
de funciones de seguridad
La vulnerabilidad en cuestión es
CVE-2026-21509
(CVSS puntuación: 7.8), un bypass de funciones de seguridad en Microsoft Office que podría permitir a un atacante no autorizado enviar un archivo de Office especialmente elaborado y activarlo.
organisation
de Office
La vulnerabilidad en cuestión es
CVE-2026-21509
(CVSS puntuación: 7.8), un bypass de funciones de seguridad en Microsoft Office que podría permitir a un atacante no autorizado enviar un archivo de Office especialmente elaborado y activarlo.
organisation
parcheada de Microsoft Office
Ciberdelincuentes rusos explotan una vulnerabilidad recién parcheada de Microsoft Office.
organisation
Microsoft 365
The issue stems from the application's "reliance on untrusted inputs when making security decisions", which allows attackers to bypass Object Linking and Embedding (OLE) security mitigations built into Microsoft Office and Microsoft 365.
Affected software includes Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024, and Microsoft 365 Apps for Enterprise.
When exploited, it can enable an attacker to bypass object linking and embedding (OLE) mitigations in Microsoft 365 and Microsoft Office which protect users from vulnerable component object model (COM) and OLE controls.
organisation
Object Linking and
The issue stems from the application's "reliance on untrusted inputs when making security decisions", which allows attackers to bypass Object Linking and Embedding (OLE) security mitigations built into Microsoft Office and Microsoft 365.
organisation
OLE
The issue stems from the application's "reliance on untrusted inputs when making security decisions", which allows attackers to bypass Object Linking and Embedding (OLE) security mitigations built into Microsoft Office and Microsoft 365.
When exploited, it can enable an attacker to bypass object linking and embedding (OLE) mitigations in Microsoft 365 and Microsoft Office which protect users from vulnerable component object model (COM) and OLE controls.
infrastructure
Microsoft Office 2016
Affected software includes Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024, and Microsoft 365 Apps for Enterprise.
The tech firm urged customers running Microsoft Office 2016 and 2019 to ensure the update is installed to be protected.
infrastructure
Microsoft Office 2019
Affected software includes Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024, and Microsoft 365 Apps for Enterprise.
organisation
Microsoft Office LTSC
Affected software includes Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024, and Microsoft 365 Apps for Enterprise.
organisation
EU Cyber-Attacks
Fancy Bear Exploits Microsoft Office Flaw in Ukraine, EU Cyber-Attacks.
organisation
EU
Russian-linked hacking group Fancy Bear (APT28) has reportedly exploited a recently disclosed vulnerability in Microsoft Office to conduct cyber-attacks against Ukrainian and EU organizations.
organisation
Operación Phantom Net Voxel
uso de APT28 de la Grunt Stager era
destacado
por Sekoia en septiembre de 2025 en relación con una campaña llamada Operación Phantom Net Voxel.
data_breach
2025 uso era destacado por septiembre de
uso de APT28 de la Grunt Stager era
destacado
por Sekoia en septiembre de 2025 en relación con una campaña llamada Operación Phantom Net Voxel.
MiniDoor se considera una versión desmontada de
No.
(aka GONEPOSTAL), que fue documentado por S2 Grupo LAB52 en septiembre de 2025.
organisation
Trellix
Actualización
En un nuevo informe publicado el 4 de febrero de 2026, Trellix dijo que observó APT28 aprovechando a la Oficina de Microsoft 1 día dentro de las 24 horas de su revelación pública para dirigirse a entidades militares y gubernamentales europeas, especialmente dirigidas a organizaciones marítimas y de transporte en toda Polonia, Eslovenia, Turquía, Grecia, EE.UU.
organisation
Oficina de Microsoft 1
Actualización
En un nuevo informe publicado el 4 de febrero de 2026, Trellix dijo que observó APT28 aprovechando a la Oficina de Microsoft 1 día dentro de las 24 horas de su revelación pública para dirigirse a entidades militares y gubernamentales europeas, especialmente dirigidas a organizaciones marítimas y de transporte en toda Polonia, Eslovenia, Turquía, Grecia, EE.UU.
organisation
día dentro de las 24
Actualización
En un nuevo informe publicado el 4 de febrero de 2026, Trellix dijo que observó APT28 aprovechando a la Oficina de Microsoft 1 día dentro de las 24 horas de su revelación pública para dirigirse a entidades militares y gubernamentales europeas, especialmente dirigidas a organizaciones marítimas y de transporte en toda Polonia, Eslovenia, Turquía, Grecia, EE.UU.
organisation
el mantenimiento
"Este enfoque multicapa demuestra el desarrollo de APT28 en el mantenimiento del acceso persistente mientras evade la detección en entornos empresariales".
organisation
ZTNA
Workspace protection
← Back Workspace protection
* Workspace protection
* Protected Browser
* Zero trust network access (ZTNA)
* DNS Protection
* Email Monitoring System
* Email security
← Back Email security
* Email and phishing protection
* Employee awareness training
* Cloud security
← Back Cloud security
* Cloud workload protection
* Cloud security posture management (CSPM)
* Explore managed detection and response with Sophos MDR.
organisation
DNS Protection
Workspace protection
← Back Workspace protection
* Workspace protection
* Protected Browser
* Zero trust network access (ZTNA)
* DNS Protection
* Email Monitoring System
* Email security
← Back Email security
* Email and phishing protection
* Employee awareness training
* Cloud security
← Back Cloud security
* Cloud workload protection
* Cloud security posture management (CSPM)
* Explore managed detection and response with Sophos MDR.
organisation
CSPM
Workspace protection
← Back Workspace protection
* Workspace protection
* Protected Browser
* Zero trust network access (ZTNA)
* DNS Protection
* Email Monitoring System
* Email security
← Back Email security
* Email and phishing protection
* Employee awareness training
* Cloud security
← Back Cloud security
* Cloud workload protection
* Cloud security posture management (CSPM)
* Explore managed detection and response with Sophos MDR.
organisation
Entre
Entre las cargas de pago extraídas hay un cargador de código de shell ("EhStoreShell.dll") y una imagen PNG ("SplashScreen.png").
organisation
de código de shell
Entre las cargas de pago extraídas hay un cargador de código de shell ("EhStoreShell.dll") y una imagen PNG ("SplashScreen.png").
organisation
PNG
Entre las cargas de pago extraídas hay un cargador de código de shell ("EhStoreShell.dll") y una imagen PNG ("SplashScreen.png").
organisation
DLL
One
malicious DLL
, identified as
EhStoreShell.dll
Shellcode hidden in an image file
, apparently harmless, named
SplashScreen.png
One
scheduled task
call
OneDriveHealth
, designed to maintain persistence in the system.
Successful execution resulted in the following actions:
The creation of a DLL file "EhStoreShell.dll" (masquerading as the "Enhanced Storage Shell Extension" library)
El primer dropper actúa como una vía para servir a MiniDoor, un archivo DLL basado en C++ que roba los correos electrónicos de un usuario en varias carpetas (Inbox, Junk y Drafts) y los envía a dos direcciones de correo electrónico de un actor de amenaza de código duro: ahmeclaw2002@outlook[.]com y ahmeclaw@proton[.]me.
infrastructure
Windows
CERT-UA urged implementing the mitigation measures outlined in
Microsoft’s advisory
, particularly regarding Windows registry configurations.
organisation
Zscaler ThreatLabz
Zscaler ThreatLabz
dijo:
observó que el grupo de piratería armaba la deficiencia el 29 de enero de 2026, en ataques contra usuarios en Ucrania, Eslovaquia y Rumania, tres días después de que Microsoft divulgara públicamente
organisation
el grupo de piratería
Zscaler ThreatLabz
dijo:
observó que el grupo de piratería armaba la deficiencia el 29 de enero de 2026, en ataques contra usuarios en Ucrania, Eslovaquia y Rumania, tres días después de que Microsoft divulgara públicamente
organisation
Ucrania, Eslovaquia
Zscaler ThreatLabz
dijo:
observó que el grupo de piratería armaba la deficiencia el 29 de enero de 2026, en ataques contra usuarios en Ucrania, Eslovaquia y Rumania, tres días después de que Microsoft divulgara públicamente
organisation
días después de que
Zscaler ThreatLabz
dijo:
observó que el grupo de piratería armaba la deficiencia el 29 de enero de 2026, en ataques contra usuarios en Ucrania, Eslovaquia y Rumania, tres días después de que Microsoft divulgara públicamente
organisation
Microsoft
Zscaler ThreatLabz
dijo:
observó que el grupo de piratería armaba la deficiencia el 29 de enero de 2026, en ataques contra usuarios en Ucrania, Eslovaquia y Rumania, tres días después de que Microsoft divulgara públicamente
Address cyber insurance requirements
* Protect my Microsoft environment
* Enable Cloud-native security
* All solutions
* Industries
← Back Industries
* Education
* Finance and banking
*
Address cyber insurance requirements
* Secure my Microsoft environment
* Enable Cloud-native security
* All solutions
* Industries
← Back Industries
* Education
* Finance and banking
*
organisation
Los señuelos de ingeniería
"Los señuelos de ingeniería social fueron elaborados tanto en inglés como en idiomas localizados (romano, eslovaco y ucraniano) para dirigirse a los usuarios en los respectivos países", dijeron los investigadores de seguridad Sudeep Singh y Roy Tay.
organisation
dijeron los investigadores de seguridad
"Los señuelos de ingeniería social fueron elaborados tanto en inglés como en idiomas localizados (romano, eslovaco y ucraniano) para dirigirse a los usuarios en los respectivos países", dijeron los investigadores de seguridad Sudeep Singh y Roy Tay.
organisation
El actor de la amenaza empleó
"El actor de la amenaza empleó técnicas de evasión del lado del servidor, respondiendo al DLL malicioso sólo cuando las solicitudes se originaron de la región geográfica dirigida e incluye el encabezado correcto de Usuario-Agent HTTP."
Las cadenas de ataque, en pocas palabras, implican la explotación del agujero de seguridad por medio de un archivo RTF malicioso para ofrecer dos versiones diferentes de un dropper, uno que está diseñado para soltar un buscador de correo de Outlook llamado
MiniDoor
, y otro, referido como
PixyNetLoader
, eso es responsable de la implementación de un implante de púlpito.
organisation
originaron de la región
"El actor de la amenaza empleó técnicas de evasión del lado del servidor, respondiendo al DLL malicioso sólo cuando las solicitudes se originaron de la región geográfica dirigida e incluye el encabezado correcto de Usuario-Agent HTTP."
Las cadenas de ataque, en pocas palabras, implican la explotación del agujero de seguridad por medio de un archivo RTF malicioso para ofrecer dos versiones diferentes de un dropper, uno que está diseñado para soltar un buscador de correo de Outlook llamado
MiniDoor
, y otro, referido como
PixyNetLoader
, eso es responsable de la implementación de un implante de púlpito.
organisation
el encabezado
"El actor de la amenaza empleó técnicas de evasión del lado del servidor, respondiendo al DLL malicioso sólo cuando las solicitudes se originaron de la región geográfica dirigida e incluye el encabezado correcto de Usuario-Agent HTTP."
Las cadenas de ataque, en pocas palabras, implican la explotación del agujero de seguridad por medio de un archivo RTF malicioso para ofrecer dos versiones diferentes de un dropper, uno que está diseñado para soltar un buscador de correo de Outlook llamado
MiniDoor
, y otro, referido como
PixyNetLoader
, eso es responsable de la implementación de un implante de púlpito.
organisation
implican la
"El actor de la amenaza empleó técnicas de evasión del lado del servidor, respondiendo al DLL malicioso sólo cuando las solicitudes se originaron de la región geográfica dirigida e incluye el encabezado correcto de Usuario-Agent HTTP."
Las cadenas de ataque, en pocas palabras, implican la explotación del agujero de seguridad por medio de un archivo RTF malicioso para ofrecer dos versiones diferentes de un dropper, uno que está diseñado para soltar un buscador de correo de Outlook llamado
MiniDoor
, y otro, referido como
PixyNetLoader
, eso es responsable de la implementación de un implante de púlpito.
organisation
del agujero de seguridad
"El actor de la amenaza empleó técnicas de evasión del lado del servidor, respondiendo al DLL malicioso sólo cuando las solicitudes se originaron de la región geográfica dirigida e incluye el encabezado correcto de Usuario-Agent HTTP."
Las cadenas de ataque, en pocas palabras, implican la explotación del agujero de seguridad por medio de un archivo RTF malicioso para ofrecer dos versiones diferentes de un dropper, uno que está diseñado para soltar un buscador de correo de Outlook llamado
MiniDoor
, y otro, referido como
PixyNetLoader
, eso es responsable de la implementación de un implante de púlpito.
organisation
RTF
"El actor de la amenaza empleó técnicas de evasión del lado del servidor, respondiendo al DLL malicioso sólo cuando las solicitudes se originaron de la región geográfica dirigida e incluye el encabezado correcto de Usuario-Agent HTTP."
Las cadenas de ataque, en pocas palabras, implican la explotación del agujero de seguridad por medio de un archivo RTF malicioso para ofrecer dos versiones diferentes de un dropper, uno que está diseñado para soltar un buscador de correo de Outlook llamado
MiniDoor
, y otro, referido como
PixyNetLoader
, eso es responsable de la implementación de un implante de púlpito.
organisation
MiniDoor
"El actor de la amenaza empleó técnicas de evasión del lado del servidor, respondiendo al DLL malicioso sólo cuando las solicitudes se originaron de la región geográfica dirigida e incluye el encabezado correcto de Usuario-Agent HTTP."
Las cadenas de ataque, en pocas palabras, implican la explotación del agujero de seguridad por medio de un archivo RTF malicioso para ofrecer dos versiones diferentes de un dropper, uno que está diseñado para soltar un buscador de correo de Outlook llamado
MiniDoor
, y otro, referido como
PixyNetLoader
, eso es responsable de la implementación de un implante de púlpito.
organisation
vía
El primer dropper actúa como una vía para servir a MiniDoor, un archivo DLL basado en C++ que roba los correos electrónicos de un usuario en varias carpetas (Inbox, Junk y Drafts) y los envía a dos direcciones de correo electrónico de un actor de amenaza de código duro: ahmeclaw2002@outlook[.]com y ahmeclaw@proton[.]me.
organisation
correos
El primer dropper actúa como una vía para servir a MiniDoor, un archivo DLL basado en C++ que roba los correos electrónicos de un usuario en varias carpetas (Inbox, Junk y Drafts) y los envía a dos direcciones de correo electrónico de un actor de amenaza de código duro: ahmeclaw2002@outlook[.]com y ahmeclaw@proton[.]me.
organisation
electrónicos de un
El primer dropper actúa como una vía para servir a MiniDoor, un archivo DLL basado en C++ que roba los correos electrónicos de un usuario en varias carpetas (Inbox, Junk y Drafts) y los envía a dos direcciones de correo electrónico de un actor de amenaza de código duro: ahmeclaw2002@outlook[.]com y ahmeclaw@proton[.]me.
organisation
Inbox
El primer dropper actúa como una vía para servir a MiniDoor, un archivo DLL basado en C++ que roba los correos electrónicos de un usuario en varias carpetas (Inbox, Junk y Drafts) y los envía a dos direcciones de correo electrónico de un actor de amenaza de código duro: ahmeclaw2002@outlook[.]com y ahmeclaw@proton[.]me.
organisation
Drafts
El primer dropper actúa como una vía para servir a MiniDoor, un archivo DLL basado en C++ que roba los correos electrónicos de un usuario en varias carpetas (Inbox, Junk y Drafts) y los envía a dos direcciones de correo electrónico de un actor de amenaza de código duro: ahmeclaw2002@outlook[.]com y ahmeclaw@proton[.]me.
organisation
electrónico de un
El primer dropper actúa como una vía para servir a MiniDoor, un archivo DLL basado en C++ que roba los correos electrónicos de un usuario en varias carpetas (Inbox, Junk y Drafts) y los envía a dos direcciones de correo electrónico de un actor de amenaza de código duro: ahmeclaw2002@outlook[.]com y ahmeclaw@proton[.]me.
organisation
utiliza
En cambio, el segundo gotero, es decir, PixyNetLoader, se utiliza para iniciar una cadena de ataque mucho más elaborada que implica la entrega de componentes adicionales incrustados en ella y el establecimiento de la persistencia en el host utilizando
Secuestramiento de objetos COM
.
organisation
cadena de ataque mucho más elaborada que
En cambio, el segundo gotero, es decir, PixyNetLoader, se utiliza para iniciar una cadena de ataque mucho más elaborada que implica la entrega de componentes adicionales incrustados en ella y el establecimiento de la persistencia en el host utilizando
Secuestramiento de objetos COM
.
organisation
el establecimiento de la persistencia
En cambio, el segundo gotero, es decir, PixyNetLoader, se utiliza para iniciar una cadena de ataque mucho más elaborada que implica la entrega de componentes adicionales incrustados en ella y el establecimiento de la persistencia en el host utilizando
Secuestramiento de objetos COM
.
organisation
el host utilizando
Secuestramiento de objetos COM
En cambio, el segundo gotero, es decir, PixyNetLoader, se utiliza para iniciar una cadena de ataque mucho más elaborada que implica la entrega de componentes adicionales incrustados en ella y el establecimiento de la persistencia en el host utilizando
Secuestramiento de objetos COM
.
organisation
analizar el código de shell
La responsabilidad primordial del cargador es analizar el código de shell oculto utilizando la esteganografía dentro de la imagen y ejecutarlo.
organisation
el cargador
Dicho esto, el cargador sólo activa su lógica maliciosa si la máquina infectada no es un entorno de análisis y cuando el proceso host que lanzó el DLL es
organisation
El malware
El malware permanece inactivo si las condiciones no se cumplen.
organisation
El código extraído
El código extraído, en última instancia, se utiliza para cargar un montaje .NET integrado, que no es más que un implante Grunt asociado con el marco de código abierto .NET
organisation
Grunt
El código extraído, en última instancia, se utiliza para cargar un montaje .NET integrado, que no es más que un implante Grunt asociado con el marco de código abierto .NET
organisation
el marco de código
El código extraído, en última instancia, se utiliza para cargar un montaje .NET integrado, que no es más que un implante Grunt asociado con el marco de código abierto .NET
organisation
VBA
"Aunque la campaña anterior utilizó un macro VBA, esta actividad lo reemplaza con un DLL manteniendo técnicas similares, incluyendo (1) Secuestramiento COM para la ejecución, (2) DLL proxying, (3) técnicas de encriptación de cadena XOR, y (4) Covenant Grunt y su cargador de código de shell incrustado en un PNG a través de la esteganografía.
organisation
cadena de ataque idéntica
desencadena una cadena de ataque idéntica a PixyNetLoader, lo que resulta en el despliegue del implante Grunt del marco PACENTE.
organisation
el despliegue
desencadena una cadena de ataque idéntica a PixyNetLoader, lo que resulta en el despliegue del implante Grunt del marco PACENTE.
organisation
cadena de infección
"Esta campaña cuenta con una cadena de infección multietapa y nuevas cargas de pago, incluyendo un simple cargador inicial, un backdoor de Outlook VBA (
No.
), y un implante C++ personalizado llamado "BEARDSHELL", investigadores Pham Duy Phuc y Alex Lanstein
dijo:
"Los actores de la amenaza abusan del almacenamiento legítimo de la nube (filen[.]io) como infraestructura de comando y control (C2), mezclando el tráfico malicioso con la actividad normal del usuario".
organisation
el tráfico
"Esta campaña cuenta con una cadena de infección multietapa y nuevas cargas de pago, incluyendo un simple cargador inicial, un backdoor de Outlook VBA (
No.
), y un implante C++ personalizado llamado "BEARDSHELL", investigadores Pham Duy Phuc y Alex Lanstein
dijo:
"Los actores de la amenaza abusan del almacenamiento legítimo de la nube (filen[.]io) como infraestructura de comando y control (C2), mezclando el tráfico malicioso con la actividad normal del usuario".
organisation
Esto
Esto incluye la descarga de un Microsoft Shortcut (LNK) y un código llamado DLL SimpleLoader que es responsable de retirar NotDoor o el COVENANT
organisation
de un Microsoft Shortcut (
Esto incluye la descarga de un Microsoft Shortcut (LNK) y un código llamado DLL SimpleLoader que es responsable de retirar NotDoor o el COVENANT
organisation
LNK
Esto incluye la descarga de un Microsoft Shortcut (LNK) y un código llamado DLL SimpleLoader que es responsable de retirar NotDoor o el COVENANT
organisation
el backdoor BEARDSHELL
Grunt Beacon que luego se pone en contacto con un filen[.]io endpoint para entregar el backdoor BEARDSHELL.
organisation
utilizando cargas de pago cifradas
y la evasión, utilizando cargas de pago cifradas, servicios de nube legítimos para C2, ejecución en memoria e inyección de procesos para minimizar los artefactos forenses", dijo Trellix.
organisation
inyección de procesos
y la evasión, utilizando cargas de pago cifradas, servicios de nube legítimos para C2, ejecución en memoria e inyección de procesos para minimizar los artefactos forenses", dijo Trellix.
organisation
European Union COREPER
These archives were carefully designed to appear to be legitimate communications related to European Union COREPER consultations on Ukraine, a subject of particular sensitivity in the current geopolitical context.
organisation
Performance Cookies
#### Performance Cookies
- [x] Performance Cookies
These cookies allow us to count visits and traffic sources so we can measure and improve the performance of our site.
organisation
Licenses & Accounts
*
Image 6: Top Navigation - Sign in - Secondary Icon Sign in
* ← Back
* Sophos Central
* Partner Portal
* Licenses & Accounts
* Sophos Home
Open search
English (US)Open language switcher
* Platform
* ← Back
*
organisation
Sophos Home
Open
Image 6: Top Navigation - Sign in - Secondary Icon Sign in
* ← Back
* Sophos Central
* Partner Portal
* Licenses & Accounts
* Sophos Home
Open search
English (US)Open language switcher
* Platform
* ← Back
*
Image 6: Top Navigation - Sign in - Secondary Icon Sign in
* ← Back
* Sophos Central
* Partner Portal
* Licences & Accounts
* Sophos Home
Open search
English (UK)Open language switcher
*
organisation
XDR - Extended
Server protection
* Mobile security
* Security operations
← Back Security operations
* XDR - Extended detection and response
* XDR with Next-Gen SIEM
* Identity security
← Back Identity security
* ITDR - Identity threat detection and response
* Network security and infrastructure
← Back Network security and infrastructure
* Next-gen firewall (NGFW)
* NDR - Network detection and response
* Network switches
*
organisation
Next-Gen SIEM
*
Server protection
* Mobile security
* Security operations
← Back Security operations
* XDR - Extended detection and response
* XDR with Next-Gen SIEM
* Identity security
← Back Identity security
* ITDR - Identity threat detection and response
* Network security and infrastructure
← Back Network security and infrastructure
* Next-gen firewall (NGFW)
* NDR - Network detection and response
* Network switches
*
organisation
Back Identity
Server protection
* Mobile security
* Security operations
← Back Security operations
* XDR - Extended detection and response
* XDR with Next-Gen SIEM
* Identity security
← Back Identity security
* ITDR - Identity threat detection and response
* Network security and infrastructure
← Back Network security and infrastructure
* Next-gen firewall (NGFW)
* NDR - Network detection and response
* Network switches
*
organisation
ITDR - Identity
Server protection
* Mobile security
* Security operations
← Back Security operations
* XDR - Extended detection and response
* XDR with Next-Gen SIEM
* Identity security
← Back Identity security
* ITDR - Identity threat detection and response
* Network security and infrastructure
← Back Network security and infrastructure
* Next-gen firewall (NGFW)
* NDR - Network detection and response
* Network switches
*
organisation
NGFW
Server protection
* Mobile security
* Security operations
← Back Security operations
* XDR - Extended detection and response
* XDR with Next-Gen SIEM
* Identity security
← Back Identity security
* ITDR - Identity threat detection and response
* Network security and infrastructure
← Back Network security and infrastructure
* Next-gen firewall (NGFW)
* NDR - Network detection and response
* Network switches
*
organisation
IR - Incident
* Services
* ← Back
* Managed services
← Back Managed services
* MDR - Managed detection and response
* IR - Incident response services
* Vulnerability management (Managed risk)
* Advisory services
← Back Advisory services
* Advisory services overview
*
organisation
← Back Advisory
* Services
* ← Back
* Managed services
← Back Managed services
* MDR - Managed detection and response
* IR - Incident response services
* Vulnerability management (Managed risk)
* Advisory services
← Back Advisory services
* Advisory services overview
*
organisation
Back Professional
Security testing
* Professional services
← Back Professional services
*
organisation
NIS2
Operational support
* Complimentary tools
← Back Complimentary tools
* NIST assessment
* NIS2 assessment
* Experiencing a breach?
organisation
← Back Trust
Press
* Careers
* Trust center
← Back Trust center
* Trust Center overview
* Sophos Central security
* Secure design
* Responsible disclosure
* ESG
* Corporate policy
*
Press
* Careers
* Trust center
← Back Trust center
* Trust Centre overview
* Sophos Central security
* Secure design
* Responsible disclosure
* ESG
* Corporate policy
*
organisation
Digital
Privacy
* Security tabletop guidelines
* Incident response
* Digital operational resilience act
* Trusted by more than 600,000 customers worldwide.
victims
600,000 customers
Privacy
* Security tabletop guidelines
* Incident response
* Digital operational resilience act
* Trusted by more than 600,000 customers worldwide.
Privacy
* Security tabletop guidelines
* Incident response
* Digital Operational Resilience Act
* Trusted by more than 600,000 customers worldwide.
organisation
Digital Operational Resilience Act
Privacy
* Security tabletop guidelines
* Incident response
* Digital Operational Resilience Act
* Trusted by more than 600,000 customers worldwide.
organisation
Sophos
* Partners
* ← Back
* Sophos partners
← Back Sophos partners
* Partner program
* Partner portal login
* Partner care
* Partner training
* Partner blog
* Partner ecosystem
← Back Partner ecosystem
* Channel partners
* Managed service providers (MSPs)
* OEM
* Integrations and APIs
* Find a Sophos partner near you.
organisation
TAM
Support portal
* Support plans
* Customer success
* Technical account manager (TAM)
* Contact Sophos support
* Contact partner care
*
organisation
Sophos Academy
Support resources
← Back Support resources
* Downloads and updates
* Sophos Techvids
* Sophos status page
* Security advisories
* Submit a threat
* Product Support
← Back Product Support
* Product documentation
* Sophos community forums
* Sophos Firewall
* Sophos Endpoint
* Sophos XDR
* Sophos Central
* Sophos Email
* Training
← Back Training
* Sophos Academy
* Experiencing a breach?
organisation
Counter Threat Unit Research Team
Image 7: Sophos Counter Threat Unit Research Team
Written bySophos Counter Threat Unit Research Team
!
organisation
Copy linkLink Copied
Image 9: Copy linkLink Copied
!
organisation
Office
Exploitation requires an attacker to convince a user to open a specially crafted malicious Office file.
organisation
Calculator
Services
* Cloud security
* Calculator
Services
* Managed services
* Advisory services
* Professional services
Solutions
* Featured solutions
* Industries
* Public cloud security
* Use cases
*
Tactical Metrics
Metrics
infrastructure
Microsoft Office
Affected Product
Click for context!
APT28 Uses Microsoft Office CVE-2026-21509 in Espionage-Focused Malware Attacks.
se ha atribuido a ataques que explotan una nueva falla de seguridad revelada en Microsoft Office como parte de una operación llamada por código de campaña
Neusploit
.
La vulnerabilidad en cuestión es
CVE-2026-21509
(CVSS puntuación: 7.8), un bypass de funciones de seguridad en Microsoft Office que podría permitir a un atacante no autorizado enviar un archivo de Office especialmente elaborado y activarlo.
"Durante la investigación, se encontró que abrir el documento utilizando Microsoft Office conduce a establecer una conexión de red a un recurso externo utilizando el protocolo WebDAV, seguido de descargar un archivo con un nombre de archivo atajo que contiene código de programa diseñado para descargar y ejecutar un archivo ejecutable", dijo CERT-UA.
Esto, a su vez,
A critical vulnerability of Microsoft Office, urgently corrected at the end of January, is already being actively exploited by
Cybercriminals linked to Russia
in cyber-espionage campaigns directed against government bodies and European entities.
Ciberdelincuentes rusos explotan una vulnerabilidad recién parcheada de Microsoft Office.
The failure, identified as
CVE-2026-21509
, affects multiple versions of Microsoft Office and was initially catalogued as a
zero-day
as it was being exploited before there was an official update.
Microsoft Office vulnerability (CVE-2026-21509) in active exploitation.
* Get started
Microsoft Office vulnerability (CVE-2026-21509) in active exploitation
======================================================================
January 27, 2026
!
Image 12: Facebook logo
On January 26, 2026, Microsoft released an out-of-band update to address a high-severity (CVSS score of 7.8) vulnerability affecting multiple Microsoft Office products.
The issue stems from the application's "reliance on untrusted inputs when making security decisions", which allows attackers to bypass Object Linking and Embedding (OLE) security mitigations built into Microsoft Office and Microsoft 365.
Affected software includes Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024, and Microsoft 365 Apps for Enterprise.
Recommended actions
-------------------
Organizations should identify vulnerable Microsoft Office instances in their environments and apply updates or mitigations as appropriate.
Fancy Bear Exploits Microsoft Office Flaw in Ukraine, EU Cyber-Attacks.
Russian-linked hacking group Fancy Bear (APT28) has reportedly exploited a recently disclosed vulnerability in Microsoft Office to conduct cyber-attacks against Ukrainian and EU organizations.
Disclosed by Microsoft on January 26, the flaw is an over-reliance on untrusted inputs in a security decision in Microsoft Office.
When exploited, it can enable an attacker to bypass object linking and embedding (OLE) mitigations in Microsoft 365 and Microsoft Office which protect users from vulnerable component object model (COM) and OLE controls.
“Given the likely delay (or inability) of users to update Microsoft Office or apply recommended security measures, the number of cyber-attacks exploiting this vulnerability is expected to increase,” the CERT-UA report noted.
Further CERT-UA analysis revealed that opening the document using Microsoft Office triggered a network connection to an external resource via the WebDAV protocol, followed by the download of a file disguised as a shortcut (LNK) containing malicious code designed to download and execute a payload.
Metrics
data_breach
2,025
Uso Era Destacado Por Septiembre De
uso de APT28 de la Grunt Stager era
destacado
por Sekoia en septiembre de 2025 en relación con una campaña llamada Operación Phantom Net Voxel.
MiniDoor se considera una versión desmontada de
No.
(aka GONEPOSTAL), que fue documentado por S2 Grupo LAB52 en septiembre de 2025.
Metrics
infrastructure
7.8
Software Version
Image 12: Facebook logo
On January 26, 2026, Microsoft released an out-of-band update to address a high-severity (CVSS score of 7.8) vulnerability affecting multiple Microsoft Office products.
The file contained an exploit for CVE-2026-21509,
a high-severity vulnerability
(with a CVSS 3.1 score of 7.8) affecting several versions of Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 and Microsoft 365 Apps for Enterprise.
Metrics
infrastructure
Microsoft 365
Affected Product
The issue stems from the application's "reliance on untrusted inputs when making security decisions", which allows attackers to bypass Object Linking and Embedding (OLE) security mitigations built into Microsoft Office and Microsoft 365.
Affected software includes Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024, and Microsoft 365 Apps for Enterprise.
The file contained an exploit for CVE-2026-21509,
a high-severity vulnerability
(with a CVSS 3.1 score of 7.8) affecting several versions of Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 and Microsoft 365 Apps for Enterprise.
When exploited, it can enable an attacker to bypass object linking and embedding (OLE) mitigations in Microsoft 365 and Microsoft Office which protect users from vulnerable component object model (COM) and OLE controls.
Metrics
infrastructure
Microsoft Office 2016
Affected Product
Affected software includes Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024, and Microsoft 365 Apps for Enterprise.
The file contained an exploit for CVE-2026-21509,
a high-severity vulnerability
(with a CVSS 3.1 score of 7.8) affecting several versions of Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 and Microsoft 365 Apps for Enterprise.
The tech firm urged customers running Microsoft Office 2016 and 2019 to ensure the update is installed to be protected.
Metrics
infrastructure
Microsoft Office 2019
Affected Product
Affected software includes Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024, and Microsoft 365 Apps for Enterprise.
Metrics
victims
600,000
Customers
Privacy
* Security tabletop guidelines
* Incident response
* Digital operational resilience act
* Trusted by more than 600,000 customers worldwide.
Privacy
* Security tabletop guidelines
* Incident response
* Digital Operational Resilience Act
* Trusted by more than 600,000 customers worldwide.
Metrics
infrastructure
3.1
Software Version
The file contained an exploit for CVE-2026-21509,
a high-severity vulnerability
(with a CVSS 3.1 score of 7.8) affecting several versions of Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 and Microsoft 365 Apps for Enterprise.
Metrics
infrastructure
Windows
Affected Product
CERT-UA urged implementing the mitigation measures outlined in
Microsoft’s advisory
, particularly regarding Windows registry configurations.
Intelligence Sources
Sophos News
2026-01-27
Sophos News
2026-01-27
The Hacker News
2026-02-03
Bit Life Media
2026-02-03
Infosecurity-Magazine
2026-02-02
Fancy Bear Exploits Microsoft Office Flaw in Ukraine, EU Cyber-Attacks
Infosecurity-Magazine
Unpublish from Social Media?
Are you sure you want to delete this podcast video from all synchronized social networks (YouTube, Facebook, Threads)?
Important:
Due to Meta API restrictions, Instagram Reels cannot be deleted automatically via API by third-party apps.
View Profile to Delete Manually
View Profile to Delete Manually
Tactical Intelligence
Report Intelligence Issue
Podcast Options
Generate
Reset / Delete
Incident Version History
CURRENT VERSION
Last Updated: 2026-04-27T06:42
Comprehensive Tactical Telemetry
Highly Correlated Entities
91x
organisation
Identified Entity
Microsoft Office
entity
34x
attribution
Attributing Entity
del Equipo de Respuesta de Emergencia Computadora de Ucrania
authority
13x
timeline
Temporal Reference
June 2025
date
8x
industry
Targeted Sector
Government
sector
5x
infrastructure
Affected Product
Microsoft Office
software
5x
tactic
MITRE ATT&CK Technique
T1588.001 - Malware
technique
3x
tactic
Cyber Operation Type
Espionage
tactic
3x
target region
Target Country
Lao People's Democratic Republic
country
3x
source region
Origin Country
Lao People's Democratic Republic
country
2x
general metric
El
29
el
2x
general metric
Microsoft
1
microsoft
2x
vulnerability
CVSS Score
8
score
2x
infrastructure
Software Version
7.8
version
2x
general metric
Ltsc
2,021
ltsc
Contextual Telemetry
Context Block
13 METRICS
vulnerability
Exploited CVE
CVE-2026-21509
cve
threat actor
APT Group
APT28
actor
general metric
Cvss Puntuación
8
cvss puntuación
general metric
Word Apuntar Más Direcciones
60
word apuntar más direcciones
general metric
Enero
2,026
enero
data breach
Uso Era Destacado Por Septiembre De
2,025
uso era destacado por septiembre de
general metric
Actualización Un Nuevo Informe Publicado El
4
actualización un nuevo informe publicado el
general metric
Horas
24
horas
target region
Target Region
EUROPE
region
malware
Malware Payload
Sofacy
tool
general metric
Cve-2026
21,509
cve-2026
victims
Customers
600,000
customers
general metric
Score
3
score
Click on any entity below to view its context in the main text!
Selective Unpublish
Selecciona las redes de las que quieres eliminar esta publicación. El sistema intentará borrar el post real de la API y limpiará la base de datos para que puedas volver a lanzarlo.
By navigating this website, you accept the use of strictly necessary technical cookies for session security and basic platform functionality. We do not use tracking or advertising cookies.
Read our Privacy Policy.