Apenas unos días después de que Microsoft publicara una actualización de emergencia, investigadores ucranianos han detectado una campaña operada por hackers vinculados al Estado ruso que aprovecha la vulnerabilidad conocida como CVE-2026-21509 en varias versiones de Microsoft Office. El equipo de respuesta informática de Ucrania (CERT-UA) documentó la distribución de documentos maliciosos que explotaban ese fallo y que, según su análisis, pertenecen a la familia de amenazas asociada con APT28 (también conocida como Fancy Bear o Sofacy).
La secuencia de la intrusión no es simple phishing clásico: al abrir los ficheros DOC se desencadena una cadena de descarga basada en WebDAV que culmina en la instalación de una carga maliciosa mediante técnicas de suplantación de componentes COM. Entre los artefactos identificados por CERT-UA figuran una DLL maliciosa llamada EhStoreShell.dll, un archivo de imagen (SplashScreen.png) que en realidad contiene código ejecutable oculto y una tarea programada que aparece bajo el nombre OneDriveHealth. El reinicio forzado del proceso explorer.exe, orquestado por la tarea programada, permite que la DLL maliciosa se cargue y ejecute el shellcode escondido en la imagen, que a su vez arranca un framework de mando y control conocido como COVENANT.
Este mismo cargador ya había aparecido en incidentes previos vinculados a APT28 en junio de 2025, cuando los atacantes aprovecharon conversaciones en Signal para distribuir descargas que llevaron a la ejecución de malware bautizado como BeardShell y SlimAgent. CERT-UA señala además que COVENANT ha estado utilizando el servicio de almacenamiento en la nube Filen como canal de comando y control, por lo que monitorizar o bloquear conexiones hacia esa plataforma puede ayudar a mitigar la actividad maliciosa.
Hay detalles que llaman la atención en la investigación: algunos de los documentos distribuidos tenían temática relacionada con consultas del COREPER de la UE en Ucrania, y otros se hicieron pasar por comunicaciones del Centro Hidrometeorológico de Ucrania, enviándose a decenas de direcciones vinculadas con organismos gubernamentales. Nuestro conocimiento forense también revela una paradoja interesante: la metadata de los archivos indica que fueron creados después de que Microsoft lanzara la actualización de emergencia, lo que sugiere que los atacantes podrían haber usado versiones del exploit ya disponibles o haber generado documentos especialmente diseñados para evadir controles.
La atribución a APT28 la respalda no sólo la técnica utilizada, sino la reutilización de infraestructuras y herramientas ya observadas en campañas anteriores. Para contexto sobre este actor, conviene revisar informes públicos y recopilaciones que describen su persistencia y modus operandi a lo largo de los años, como los documentos de análisis y fichas técnicas disponibles en fuentes abiertas y repositorios especializados, por ejemplo la página de referencia sobre APT28 en Wikipedia, o investigaciones y reportes de equipos de respuesta nacionales.
Desde el lado de la defensa, la recomendación clara de CERT-UA y de los proveedores es aplicar cuanto antes la actualización que Microsoft publicó fuera de calendario para corregir CVE-2026-21509. Afectan versiones como Office 2016, 2019, Microsoft 365 Apps y las ediciones LTSC; además, para Office 2021 y posteriores es importante que los usuarios reinicien las aplicaciones para que el parche quede realmente activo. Microsoft recuerda también que la función Protected View de Defender añade una barrera adicional al bloquear archivos de Office procedentes de Internet hasta que sean marcados como confiables; la documentación oficial sobre esa funcionalidad puede consultarse en el sitio de Microsoft: Office Protected View.
Cuando el parche no puede desplegarse de forma inmediata, existen mitigaciones temporales basadas en el registro de Windows y en políticas de grupo que limitan la explotación; las instrucciones concretas para esas medidas suelen publicarlas tanto Microsoft como equipos CERT locales, por lo que conviene seguir las guías oficiales y ajustarlas a la infraestructura de cada organización. También es aconsejable auditar tareas programadas recientes, módulos DLL que se carguen de ubicaciones inusuales y conexiones salientes hacia servicios de almacenamiento en la nube no habituales, como parte de la búsqueda de indicadores de compromiso relacionados con esta campaña.
El uso de técnicas como la incrustación de shellcode en archivos PNG y la hijackeo de componentes COM evidencia una tendencia observable en intrusiones sofisticadas: los atacantes combinan vectores de ofuscación y persistencia para sortear controles automáticos y obtener ejecución persistente en sistemas de interés. Por esta razón, la respuesta no puede limitarse a un único parche; debe incluir monitorización continua, segmentación de redes, controles de acceso reforzados y formación específica para equipos que gestionan cuentas con privilegios.
Además del informe técnico de CERT-UA que recoge la investigación inicial, es recomendable que los responsables de seguridad consulten los avisos y guías de buenas prácticas de organismos internacionales y de proveedores para mantener las defensas actualizadas y coordinar respuestas. El informe de CERT-UA sobre este caso está disponible públicamente y contiene detalles útiles para los equipos de SOC: Informe de CERT-UA. Para una visión más amplia sobre la priorización de vulnerabilidades explotadas activamente, el catálogo de vulnerabilidades explotadas por actores conocidos de la CISA es una fuente útil.
En definitiva, la combinación de una vulnerabilidad de día cero, documentos engañosos con temas plausibles y una cadena de ejecución técnica bien afinada demuestra por qué las actualizaciones fuera de ciclo deben tomarse en serio. Si la organización aún no ha aplicado el parche para CVE-2026-21509, convertir eso en la primera prioridad de seguridad puede marcar la diferencia entre un intento de intrusión fallido y una brecha con persistencia profunda en la red. Al mismo tiempo, vigilar conexiones hacia servicios de almacenamiento en la nube no autorizados y revisar artefactos como OneDriveHealth, EhStoreShell.dll o imágenes con comportamiento sospechoso ayudará a detectar compromisos que hayan pasado por alto las defensas iniciales.
Para quien quiera investigar las herramientas implicadas, el framework COVENANT, frecuentemente citado en análisis de post-explotación, tiene su repositorio público con información técnica en GitHub: Covenant en GitHub. Esa información técnica, combinada con los indicadores publicados por equipos como CERT-UA, facilita que los defensores desarrollen reglas de detección y bloqueos más efectivos contra campañas similares.
La historia sigue abierta: CERT-UA y otros laboratorios continuarán publicando actualizaciones si se identifican nuevas variantes o infraestructuras vinculadas a esta campaña. Mantener canales de comunicación abiertos con la comunidad y aplicar medidas preventivas y detectivas ahora es la mejor manera de reducir el riesgo que plantean actores con recursos estatales. Mientras tanto, aplicar el parche, reiniciar las aplicaciones afectadas y reforzar la observabilidad de la red y los endpoints son pasos concretos que pueden contener la amenaza.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...