– DC STUDIO VÍA FREEPIK.
MADRID, 4 Feb. (CIBERPRO) –
El Equipo de Respuesta a Emergencias Informáticas (CERT) de Ucrania ha informado sobre una serie de ciberataques perpetrados por hackers rusos, quienes han explotado una vulnerabilidad en Office poco después de que Microsoft la corrigiera.
El 26 de enero, Microsoft publicó una actualización de seguridad que hacía referencia a CVE-2026-21509, una vulnerabilidad activa que permitía a un atacante eludir una característica de seguridad local, afectando a Office.
Los ataques consistieron en la distribución de archivos doc. maliciosos, que fueron enviados en correos electrónicos que supuestamente provenían del Comité de Representantes Permanentes (Coreper) en Ucrania o que se hacían pasar por el Centro Hidrometeorológico de Ucrania, dirigidos a 60 direcciones asociadas al gobierno ucraniano.
A pesar de que los documentos fueron enviados solo tres días después del aviso de Microsoft, el CERT de Ucrania ha señalado en su informe que los metadatos de los archivos revelan que fueron creados un día después de la actualización de seguridad.
Al abrir estos documentos maliciosos, se activa una cadena de descargas que instala ‘malware’ mediante una técnica conocida como ‘COM hijacking’ o secuestro del Modelo de Objetos Componentes de Windows. Estas descargas incluyen una DLL maliciosa (EhStoreShell.dll), un código shell oculto en un archivo de imagen (SplashScreen.png) y una tarea programada (OneDriveHealth).
El informe ucraniano ha detallado que la ejecución programada de la tarea provoca la finalización y reinicio de explorer.exe, asegurando así la carga del archivo DLL EhStoreShell.dll, que ejecutará el ‘shellcode’ del archivo de imagen y activará la herramienta de ‘software’ COVENANT en el equipo, que utiliza almacenamiento en la nube.
El CERT ha atribuido estos ciberataques al grupo APT28, también conocido como Fancy Bear y Sofacy, vinculado a la Dirección Principal de Inteligencia del Estado Mayor de Rusia (GRU), a quienes también se les responsabiliza de realizar ciberataques contra organizaciones en la Unión Europea.
Microsoft, por su parte, ha añadido una capa de protección adicional a Defender para bloquear archivos maliciosos de Office provenientes de Internet, a menos que el usuario los marque como «confiables».
