Een Office-lek is binnen de 48 uur uitgebuit door Russische hackers.
Russisch gelinkte aanvallers hebben vrijwel onmiddellijk na een noodpatch van Microsoft een kritiek Office-lek uitgebuit om organisaties in meerdere landen te compromitteren.
Snelle uitbuiting na noodupdate
Onderzoekers van beveiligingsbedrijf Trellix melden dat de dreigingsgroep APT28, ook bekend als Fancy Bear of Sofacy, minder dan 48 uur na het verschijnen van Microsofts ongeplande update misbruik maakte van kwetsbaarheid CVE-2026-21509. Door de patch te reverse-engineeren ontwikkelden de aanvallers snel een geavanceerde exploit, waarmee ze nieuwe, tot dan toe onbekende backdoors installeerden.
Gerichte en onzichtbare aanvallen
De campagne liep 72 uur en richtte zich op diplomatieke diensten, defensieorganisaties en transport- en logistieke bedrijven in onder meer Polen, Griekenland, Oekraïne en de Verenigde Arabische Emiraten. De aanvallen waren opgezet om detectie te vermijden: de malware draaide uitsluitend in het geheugen, gebruikte versleutelde componenten en maakte misbruik van legitieme cloudservices als command-and-controlkanalen.
Nieuwe backdoors
De onderzoekers identificeerden twee incidenten: BeardShell en NotDoor. BeardShell stond volledige systeemverkenning en laterale beweging binnen netwerken toe, terwijl NotDoor Outlook-mailboxen monitorde en berichten heimelijk doorstuurde via cloudopslagaccounts. Volgens Trellix past de gebruikte werkwijze, snelle exploitontwikkeling, modulaire malware en misbruik van vertrouwde infrastructuur, exact bij APT28.