INSPECTING ARCHIVED INTELLIGENCE (OUTDATED VERSION).
Microsoft Office Zero-Day Exploit Used by APT28 Hackers
| 2026-03-10 10:00 CRITICAL HIGHExecutive Summary AI-generated
The Russian state-sponsored APT28 threat group, known for its high-end espionage operations and custom variants of open-source tools like Covenant post-exploitation framework, has been gaining long-term capabilities since 2024. Researchers at cybersecurity company ESET have identified two new malware families: BeardShell and a heavily modified version of the Covenant .NET post-exploitation framework. These attacks have targeted central executive bodies in Ukraine, exploiting CVE-2026-21509 vulnerability in Microsoft Office via malicious DOC files. The group has paired these malware with a custom variant of the open-source tool Icedrive for command-and-control communication and leverages legitimate cloud storage services like Icedrive to execute PowerShell commands in a .NET runtime environment. This dual-implant approach enables long-term surveillance, making APT28's advanced malware development team return to activity after a period of dormancy.
Technical Mitigations AI-generated
* Use of secure and up-to-date software: Ensure that all systems, applications, and services are running with the latest security patches and updates to prevent exploitation of known vulnerabilities.
* Implement robust access controls and authentication: Use strong passwords, multi-factor authentication, and role-based access control (RBAC) to limit user privileges and ensure only authorized personnel can access sensitive data or systems.
* Monitor for suspicious activity and anomalies: Regularly scan logs and system performance metrics for signs of unusual behavior, such as unexpected changes in network traffic patterns or unauthorized access attempts. Implement alerting mechanisms to notify IT teams promptly if any suspicious activity is detected.
* Use anti-malware software with advanced threat detection capabilities: Install and regularly update anti-malware software that includes features like sandboxing, behavioral analysis, and rootkit detection to detect and prevent APT28-style malware infections.
* Keep operating systems and applications up-to-date with the latest security patches: Ensure all operating systems (OS) and applications are running with the latest security updates, including Microsoft Office, as soon as they become available.
Technical Observables
AI Podcast (EN) detail_available
detail_listen_ai (EN)
Intelligence Metadata
Actors / Malware / CVEs / Campaigns
APT28APT28
SednitSednit
CVE-2026-21509CVE-2026-21509
Target & Sectors
UA
governmentgovernment
Incident Timeline
April 2024
Threat actors used BeardShell to deploy a customized variant of the Covenant open-source tool in attacks against central executive bodies of Ukraine.
Click on any entity below to view its context and source!
source_region
Russian Federation
Researchers at cybersecurity company ESET noticed that since April 2024, the Russian group has started using in attacks two implants named BeardShell and Covenant.
organisation
ESET
Researchers at cybersecurity company ESET noticed that since April 2024, the Russian group has started using in attacks two implants named BeardShell and Covenant.
organisation
Microsoft Office
The two pieces of malware have been
used recently
to target central executive bodies of Ukraine in attacks that exploited the CVE-2026-21509 vulnerability in Microsoft Office via
malicious DOC files
.
organisation
DOC
The two pieces of malware have been
used recently
to target central executive bodies of Ukraine in attacks that exploited the CVE-2026-21509 vulnerability in Microsoft Office via
malicious DOC files
.
organisation
BeardShell
BeardShell is a modern implant that leverages the legitimate cloud storage service Icedrive for command-and-control (C2) communication.
June 2025
Threat actors used a customized variant of the Covenant open-source tool, paired with SlimAgent and heavily modified to target .NET runtime environments.
Click on any entity below to view its context and source!
attribution
CERT-UA
It can execute PowerShell commands in a .NET runtime environment and was used together with SlimAgent, according to a report from
CERT-UA
in June 2025.
attribution
SlimAgent
It can execute PowerShell commands in a .NET runtime environment and was used together with SlimAgent, according to a report from
CERT-UA
in June 2025.
tactic
T1059.001 - PowerShell
It can execute PowerShell commands in a .NET runtime environment and was used together with SlimAgent, according to a report from
CERT-UA
in June 2025.
July 2025
APT28 hackers deployed a customized variant of the Covenant open-source tool.
Click on any entity below to view its context and source!
organisation
Filen
Since July 2025, the threat actor has used the Filen cloud provider with Covenant.
threat_actor
APT28
“Since 2023, Sednit developers have made a number of modifications and experiments with Covenant to establish it as their primary espionage implant, keeping BeardShell mainly as a fallback in case Covenant encounters operational issues, such as the takedown of its cloud-based infrastructure.” -
ESET
ESET believes that APT28’s advanced malware development team returned to activity in 2024, giving the threat group new long-term espionage capabilities.
organisation
Koofr
Previously, the attacker used Koofr and pCloud services.
organisation
BearShell
Covenant dashboard
Source: ESET
ESET says Covenant is used as the primary implant, and BearShell serves as the fallback tool.
organisation
The Red Report 2026
The Red Report 2026 reveals how new threats use math to detect sandboxes and hide in plain sight.
2026-03-10
APT28 hackers deploy customized variant of Covenant open-source tool.
Click on any entity below to view its context and source!
target_region
Ukraine
"This dual-implant approach enabled long-term surveillance of Ukrainian military personnel," ESET notes in a report today.
organisation
Microsoft Office
Russia-linked APT28 attackers already abusing new Microsoft Office zero-day.
día de Microsoft Office, con el equipo nacional de defensa cibernética de Ucrania advirtiendo que el mismo error se está utilizando para dirigir agencias gubernamentales dentro del país y organizaciones de toda la UE.
En un
alerta publicada el domingo
, CERT-UA dice que la actividad está siendo impulsada por UAC-0001, mejor conocido como "APT28" o "Bear de la infancia", y bisagras en CVE-2026-21509, un error de bypass de seguridad en Microsoft Office que
Microsoft reveló la semana pasada
junto a una advertencia de que los atacantes ya lo estaban explotando en la naturaleza.
"Es obvio que en un futuro próximo, incluso debido a la inercia del proceso o la imposibilidad de los usuarios de actualizar la suite de Microsoft Office y/o utilizar mecanismos de protección recomendados, el número de ciberataques utilizando la vulnerabilidad descrita comenzará a aumentar", advirtió CERT-UA. ®
threat_actor
APT28
Russia-linked APT28 attackers already abusing new Microsoft Office zero-day.
The Russian state-sponsored APT28 threat group is using a custom variant of the open-source Covenant post-exploitation framework for long-term espionage operations.
Also tracked as Fancy Bear, Forest Blizzard, Strontium, and Sednit, the
APT28 hacker group
is known for developing high-end implants and breaching notable entities, such as the
German Parliament
, multiple
French organizations
,
government networks in Poland
, and
European NATO member countries
.
En un
alerta publicada el domingo
, CERT-UA dice que la actividad está siendo impulsada por UAC-0001, mejor conocido como "APT28" o "Bear de la infancia", y bisagras en CVE-2026-21509, un error de bypass de seguridad en Microsoft Office que
Microsoft reveló la semana pasada
junto a una advertencia de que los atacantes ya lo estaban explotando en la naturaleza.
APT28 hackers deploy customized variant of Covenant open-source tool.
organisation
día de Microsoft Office
día de Microsoft Office, con el equipo nacional de defensa cibernética de Ucrania advirtiendo que el mismo error se está utilizando para dirigir agencias gubernamentales dentro del país y organizaciones de toda la UE.
organisation
los responsables de incidentes
Ese mismo día, los responsables de incidentes ucranianos fueron alertados a una campaña de phishing paralela que imponía correspondencia oficial del Centro Ukrhidrometeorológico.
infrastructure
Windows
De ahí, los atacantes dejan caer un DLL masquerading como un componente legítimo de Windows y stash shellcode dentro de lo que parece ser un archivo de imagen inofensivo.
organisation
DLL
De ahí, los atacantes dejan caer un DLL masquerading como un componente legítimo de Windows y stash shellcode dentro de lo que parece ser un archivo de imagen inofensivo.
organisation
el último
explotando el último
organisation
Un
Un archivo titulado "Consultation Topics Ukraine(Final).doc" apareció públicamente el 29 de enero y fue abordado en torno a discusiones de la UE sobre Ucrania.
Los metadatos de archivos muestran que fue creado el 27 de enero — el día después de que Microsoft publicó detalles de la falla — un tiempo de vuelta que sugiere que la cadena de explotación ya estaba preparada y esperando.
organisation
fue abordado
Un archivo titulado "Consultation Topics Ukraine(Final).doc" apareció públicamente el 29 de enero y fue abordado en torno a discusiones de la UE sobre Ucrania.
organisation
Ucrania
Un archivo titulado "Consultation Topics Ukraine(Final).doc" apareció públicamente el 29 de enero y fue abordado en torno a discusiones de la UE sobre Ucrania.
organisation
el día después de que
Los metadatos de archivos muestran que fue creado el 27 de enero — el día después de que Microsoft publicó detalles de la falla — un tiempo de vuelta que sugiere que la cadena de explotación ya estaba preparada y esperando.
organisation
Microsoft
Los metadatos de archivos muestran que fue creado el 27 de enero — el día después de que Microsoft publicó detalles de la falla — un tiempo de vuelta que sugiere que la cadena de explotación ya estaba preparada y esperando.
organisation
DOC
Más de 60 receptores, en su mayoría a través de organismos gubernamentales centrales, recibieron correos electrónicos que llevaban un adjunto malicioso del DOC.
organisation
Office
Abrir el archivo en Office inicia silenciosamente una conexión WebDAV a un servidor externo, descarga un archivo atajo, y lo utiliza como un lanzamiento para malware adicional.
organisation
La mayoría de los usuarios
La mayoría de los usuarios notan poco fuera de lo común, pero los atacantes ahora tienen una posición a la que pueden volver.
organisation
El resultado
El resultado final es el despliegue del marco de post-explotación PACANTE, y los atacantes recorren su tráfico a través de un servicio legítimo de almacenamiento en la nube, lo que le ayuda a mezclarse como ruido cotidiano en lugar de algo obviamente hostil.
organisation
el despliegue del marco de post-explotación
El resultado final es el despliegue del marco de post-explotación PACANTE, y los atacantes recorren su tráfico a través de un servicio legítimo de almacenamiento en la nube, lo que le ayuda a mezclarse como ruido cotidiano en lugar de algo obviamente hostil.
organisation
PACANTE
El resultado final es el despliegue del marco de post-explotación PACANTE, y los atacantes recorren su tráfico a través de un servicio legítimo de almacenamiento en la nube, lo que le ayuda a mezclarse como ruido cotidiano en lugar de algo obviamente hostil.
the 2010s
BeardShell, a customized variant of the open-source tool Covenant, was used by APT28 hackers in the 2010s to deploy network-pivoting capabilities.
Click on any entity below to view its context and source!
threat_actor
APT28
ESET
found
that BeardShell also uses a unique obfuscation technique previously seen in Xtunnel, a network-pivoting tool that APT28 used in the 2010s.
Tactical Metrics
Metrics
infrastructure
Microsoft Office
Affected Product
Click for context!
Russia-linked APT28 attackers already abusing new Microsoft Office zero-day.
día de Microsoft Office, con el equipo nacional de defensa cibernética de Ucrania advirtiendo que el mismo error se está utilizando para dirigir agencias gubernamentales dentro del país y organizaciones de toda la UE.
En un
alerta publicada el domingo
, CERT-UA dice que la actividad está siendo impulsada por UAC-0001, mejor conocido como "APT28" o "Bear de la infancia", y bisagras en CVE-2026-21509, un error de bypass de seguridad en Microsoft Office que
Microsoft reveló la semana pasada
junto a una advertencia de que los atacantes ya lo estaban explotando en la naturaleza.
"Es obvio que en un futuro próximo, incluso debido a la inercia del proceso o la imposibilidad de los usuarios de actualizar la suite de Microsoft Office y/o utilizar mecanismos de protección recomendados, el número de ciberataques utilizando la vulnerabilidad descrita comenzará a aumentar", advirtió CERT-UA. ®
The two pieces of malware have been
used recently
to target central executive bodies of Ukraine in attacks that exploited the CVE-2026-21509 vulnerability in Microsoft Office via
malicious DOC files
.
Metrics
infrastructure
Windows
Affected Product
De ahí, los atacantes dejan caer un DLL masquerading como un componente legítimo de Windows y stash shellcode dentro de lo que parece ser un archivo de imagen inofensivo.
Intelligence Sources
The Register - Cybercrime
2026-02-02
Russia-linked APT28 attackers already abusing new Microsoft Office zero-day
The Register - Cybercrime
BleepingComputer
2026-03-10
APT28 hackers deploy customized variant of Covenant open-source tool
BleepingComputer
Unpublish from Social Media?
Are you sure you want to delete this podcast video from all synchronized social networks (YouTube, Facebook, Threads)?
Important:
Due to Meta API restrictions, Instagram Reels cannot be deleted automatically via API by third-party apps.
View Profile to Delete Manually
View Profile to Delete Manually
Tactical Intelligence
Report Intelligence Issue
Podcast Options
Generate
Reset / Delete
Incident Version History
CURRENT VERSION
Last Updated: 2026-04-27T07:52
Comprehensive Tactical Telemetry
Highly Correlated Entities
22x
organisation
Identified Entity
Microsoft Office
entity
14x
attribution
Attributing Entity
CERT-UA
authority
8x
timeline
Temporal Reference
April 2024
date
5x
source region
Origin Country
Russian Federation
country
3x
tactic
Cyber Operation Type
Phishing
tactic
2x
infrastructure
Affected Product
Microsoft Office
software
2x
tactic
MITRE ATT&CK Technique
T1059.001 - PowerShell
technique
Contextual Telemetry
Context Block
12 METRICS
threat actor
APT Group
APT28
actor
vulnerability
Exploited CVE
CVE-2026-21509
cve
general metric
Y Bisagras
21,509
y bisagras
general metric
Públicamente El
29
públicamente el
general metric
De Enero
27
de enero
general metric
Más Receptores
60
más receptores
industry
Targeted Sector
Government
sector
malware
Malware Payload
Sednit
tool
target region
Target Country
Ukraine
country
general metric
Red Report
2,026
red report
general metric
Malicious Samples
1,100,000
malicious samples
general metric
Top Techniques
10
top techniques
Click on any entity below to view its context in the main text!
Selective Unpublish
Selecciona las redes de las que quieres eliminar esta publicación. El sistema intentará borrar el post real de la API y limpiará la base de datos para que puedas volver a lanzarlo.
By navigating this website, you accept the use of strictly necessary technical cookies for session security and basic platform functionality. We do not use tracking or advertising cookies.
Read our Privacy Policy.