Una ricerca svolta dall’azienda americana di cyber security Trellix ha dimostrato che il collettivo filorusso ATP28 è stato capace di lanciare una sofisticata operazione di cyber spionaggio trasformando – in meno di 24 ore dalla sua divulgazione – una vulnerabilità di Microsoft Office in un’arma affilata.

Il gruppo ATP28, conosciuto anche con il nome di Fancy Bear e collegato all’intelligence militare russa, è già noto per la distribuzione di malware e ora sembra avere fatto un passo avanti per capacità e rapidità.

Infatti, due delle peculiarità di questo nuovo attacco, sono le doti organizzative del collettivo e la velocità con cui ha sferrato l’offensiva contro infrastrutture critiche e istituzioni governative in diversi Paesi.

Fulcro dell’attacco è la vulnerabilità CVE-2026-21509, che permette di aggirare le restrizioni di sicurezza di Office relative agli oggetti OLE (Object Linking and Embedding). Sfruttando questo bug, i documenti malevoli attivano l’esecuzione automatica di codice nel momento stesso in cui vengono aperti, senza richiedere l’attivazione di macro o altre interazioni da parte dell’utente.

L’exploit utilizza il protocollo WebDAV per contattare server remoti sotto il controllo degli attaccanti e scaricare i componenti successivi della catena di infezione.

Breve analisi tecnica della vulnerabilità di Office

Un esempio magistrale di targeting e di ingegneria sociale: l’operazione si è concentrata in un arco temporale di 72 ore, tra il 28 e il 30 gennaio 2026, colpendo organizzazioni in nove paesi dell’Europa orientale e dell’area mediterranea, tra i quali Polonia, Slovenia, Grecia, Turchia, Ucraina e Emirati Arabi Uniti.

Le vittime sono state selezionate con estrema precisione: il 40% dei target riguarda ministeri della Difesa, seguiti da operatori di trasporto e logistica (35%) e rappresentanze diplomatiche.

Per indurre le vittime ad aprire i file, APT28 ha utilizzato account email governativi reali ma precedentemente compromessi in Romania, Bolivia e Ucraina.

Le esche utilizzate sfruttavano temi di attualità geopolitica, come allerte sul contrabbando di armi dalla Siria (45% delle email), inviti a programmi di addestramento militare (25%) e bollettini di emergenza meteorologica (10%).

La catena di infezione

L’attacco si sviluppa attraverso diversi stadi per massimizzare l’elusione delle difese. Il primo stadio prevede il download di un collegamento LNK e di una DLL denominata SimpleLoader che usa tre diversi schemi di cifratura XOR, inclusa una chiave a rotazione di 76 caratteri, per proteggere i propri componenti interni e i payload.

Una volta eseguito, SimpleLoader stabilisce la persistenza sul sistema attraverso il dirottamento di oggetti COM e la creazione di un’attività pianificata temporanea chiamata OneDriveHealth.

L’infezione procede poi con due varianti. Una di queste usa uno steganography loader (EhStoreShell.dll) che elabora un file PNG apparentemente innocuo per poi eseguire codice fileless.

La seconda variante, NotDoor, è una backdoor specifica per Microsoft Outlook progettata per la raccolta di intelligence a lungo termine.

NotDoor modifica il registro di sistema per disabilitare i controlli di sicurezza delle macro di Outlook e installa un file VbaProject.OTM.

Questo componente inoltra automaticamente ogni email in entrata e i dati delle cartelle principali (Posta in arrivo, Bozze, Posta indesiderata) a indirizzi email controllati dagli attaccanti.

I rimedi

Sono sempre i soliti ma con una variante. Le organizzazioni devono applicare le patch urgenti rilasciate dai fornitori di software e hardware a ritmi serrati. Del resto, essendo urgenti, richiedono una reazione più che pronta da parte di chi amministra i sistemi aziendali.

Il controllo e la riduzione delle superfici d’attacco è sempre più fondamentale, e ciò rimanda alla filosofia Zero Trust, alle tecniche di Identity and Access Management (IAM) ed Endpoint Detection and Response (EDR), per citare le più diffuse.

Inoltre, dotarsi di sistemi per il monitoraggio delle attività di rete e, nello specifico, delle comunicazioni non autorizzate verso servizi di cloud storage, è un’ottima tecnica.

La prevenzione rimane fondamentale, perché questo ATP dimostra che anche personale esperto può cadere nella trappola.

Questi attacchi sono la nuova normalità?

Una domanda a cui l’ICT Security Manager Enrico Morisi dà risposta, esponendo anche le peculiarità delle minacce AI-driven.

“Una delle caratteristiche peculiari delle cosiddette minacce AI-driven è certamente la velocità, che si manifesta, per esempio, in termini di capacità di evolvere, di analizzare, di scoprire, di sfruttare, di orchestrare e di colpire.

In particolare, l’attitudine della AI a scoprire nuove vulnerabilità, gli zero-day, sta cambiando la cybersecurity, così come la conosciamo, più velocemente di quanto ci si aspetti.

Si pensi, ad esempio, alla recente individuazione di 12 nuovi zero-day in OpenSSL vulnerabilità tutt’altro che insignificanti, fornendo in ben 5 casi anche una soluzione appropriata di remediation (patch) a dimostrazione che la rivoluzione in corso impatta in modo rilevante sia sulle capacità offensive sia, fortunatamente, su quelle difensive.

L’accelerazione che contraddistingue i processi di scoperta di nuove vulnerabilità e il loro sfruttamento in attacchi reali, da un lato, e le carenze che spesso si riscontrano nei processi di vulnerability management implementati dalle organizzazioni, dall’altro, costituiscono una miscela esplosiva, dove il fattore tempo diviene determinante, consentendo agli attaccanti di adottare anche TTPs sempre più sofisticate, soprattutto in termini di evasion, obfuscation e persistence.

Il tutto si complica enormemente nel caso in cui, peraltro sempre più frequente, occorra gestire un paniere di vulnerabilità critiche simultanee, in prodotti differenti, di fornitori differenti: il modello ‘reattivo’ di manutenzione programmata diviene insostenibile e, semplicemente, ‘crolla’, trasformandosi in gestione emergenziale.

È evidente che occorra un cambio di approccio, caratterizzato innanzitutto dall’adozione di ulteriori misure di mitigazione del rischio come, per esempio, la riduzione della superficie d’attacco, in particolare con riferimento al volume e alla tipologia di dispositivi ‘edge’ introdotti, ma anche da una inevitabile prioritizzazione delle attività di “patching”, sulla base del rischio reale, vale a dire della effettiva sfruttabilità e del contesto dell’organizzazione, e non solo di quello teorico, affiancando scoring system come l’EPSS (di FIRST) il KEV (di CISA) e l’SSVC (di CISA e Carnegie Mellon University SEI) al più noto CVSS, oltre che, soprattutto, dal potenziamento di servizi essenziali come il SOC, e delle tecnologie a supporto, con opportune soluzioni di AI”.

In conclusione, la crescente complessità delle architetture di rete e la crescente sofisticatezza delle tecniche adottate dagli attaccanti, insieme, danno vita a una “nuova normalità”, nei cui perimetri le minacce – soprattutto quelle che fanno leva sulle AI – diventano più rapide, repentine ed efficaci.