Um grupo de hackers ligado ao Estado russo explorou uma vulnerabilidade crítica do Microsoft Office para atacar organizações governamentais e estratégicas em vários países, com destaque para a Ucrânia e a Polónia.
Segundo a empresa de cibersegurança Trellix, os ataques ocorreram menos de 48 horas depois de a Microsoft ter lançado uma atualização de emergência. Após analisarem a correção, os atacantes desenvolveram rapidamente um exploit avançado, capaz de instalar backdoors inéditos e difíceis de detetar.
A operação recorreu a técnicas sofisticadas, como malware executado apenas em memória, payloads encriptados e comunicações através de serviços legítimos de cloud, contornando os sistemas de segurança. A falha permitia a execução remota de código e o acesso ou alteração de dados sensíveis.
A campanha de spear phishing decorreu durante cerca de 72 horas, a partir de 28 de janeiro, e visou organizações em pelo menos nove países, sobretudo da Europa de Leste. Entre os alvos estavam ministérios da Defesa, entidades diplomáticas e operadores de transportes e logística.
Com base nos indicadores técnicos e nos alvos escolhidos, a Trellix atribui a iniciativa ao grupo APT28, conhecido como Fancy Bear, sublinhando a rapidez com que atores estatais conseguem transformar novas vulnerabilidades em armas digitais.