Quelques jours après que Microsoft a publié une mise à jour d'urgence, des chercheurs ukrainiens ont détecté une campagne menée par des pirates liés à l'État russe qui profite de la vulnérabilité connue comme CVE-2026-21509 dans plusieurs versions de Microsoft Office. L'équipe d'intervention informatique ukrainienne (CERT-UA) a documenté la distribution de documents malveillants qui ont exploité cet échec et qui, selon son analyse, appartiennent à la famille de menaces associée à l'APT28 (également connue sous le nom de Fancy Bear ou Sofacy).
La séquence d'intrusion n'est pas un simple phishing classique: lors de l'ouverture des fichiers DOC une chaîne de téléchargement basée sur WebDAV est déclenchée qui culmine dans l'installation d'une charge malveillante au moyen de techniques de remplacement des composants COM. Parmi les artefacts identifiés par DOS-DOS sont une DLL malveillante appelée [En savoir plus], un fichier image (SplashScreen.png) qui contient en fait un code exécutable caché et une tâche programmée qui apparaît sous le nom UnDriveSanté. La reprise forcée de l'explorateur. exe process, orchestré par tâche programmée, permet à la DLL malveillante de charger et d'exécuter le shellcode caché dans l'image, qui à son tour démarre un cadre de commande et de contrôle connu sous le nom de COVENANT.
Ce même chargeur était déjà apparu dans les incidents précédents liés à APT28 en juin 2025, quand les attaquants ont profité des conversations dans Signal pour distribuer des téléchargements qui ont conduit à l'exécution de logiciels malveillants baptisés comme BeardShell et SlimAgent. CERT-UA note en outre que COVENANT utilise le service de stockage en nuage Fichier en tant que canal de commande et de contrôle, ainsi la surveillance ou le blocage des connexions à cette plate-forme peut aider à atténuer l'activité malveillante.
Il y a des détails qui attirent l'attention sur la recherche: certains des documents distribués portaient sur des questions liées aux consultations du COREPER de l'UE en Ukraine, tandis que d'autres ont fait l'objet de communications du Centre hydrométéorologique ukrainien et se sont adressés à des dizaines d'adresses liées à des organismes gouvernementaux. Nos connaissances médico-légales révèlent également un paradoxe intéressant : les métadonnées des fichiers indiquent qu'elles ont été créées après que Microsoft a lancé la mise à jour d'urgence, suggérant que les attaquants auraient pu utiliser des versions déjà disponibles de l'explosion ou généré des documents spécialement conçus pour échapper aux contrôles.
L'allocation à APT28 est soutenue non seulement par la technique utilisée, mais aussi par la réutilisation des infrastructures et des outils déjà observés dans les campagnes précédentes. Pour le contexte de cet acteur, il convient d'examiner les rapports et compilations publics décrivant sa persistance et son mode de fonctionnement au fil des ans, tels que les documents d'analyse et les fiches techniques disponibles dans les sources ouvertes et les dépôts spécialisés, par exemple la page de référence sur APT28 dans Wikipédia les enquêtes et rapports des équipes d'intervention nationales.
Du côté de la défense, la recommandation claire du CERT-UA et des fournisseurs est d'appliquer dès que possible la mise à jour que Microsoft a affiché hors-plan pour corriger CVE-2026-21509. Ils affectent des versions telles que Office 2016, 2019, Microsoft 365 Apps et LTSC éditions; en outre, pour Office 2021 et plus tard, il est important pour les utilisateurs de redémarrer les applications pour rendre le patch vraiment actif. Microsoft rappelle également que la fonction Defender Protected View ajoute une barrière supplémentaire en bloquant les fichiers Office de l'Internet jusqu'à ce qu'ils soient marqués comme fiables; la documentation officielle sur cette fonctionnalité peut être trouvée sur le site Microsoft: Office protégé Affichage.
Lorsque le patch ne peut pas être déployé immédiatement, il y a une atténuation temporaire basée sur le registre Windows et les politiques de groupe qui limitent l'opération; les instructions spécifiques pour de telles mesures sont généralement publiées par Microsoft et les équipes CERT locales, il est donc approprié de suivre les guides officiels et de les ajuster à l'infrastructure de chaque organisation. Il est également conseillé de vérifier les tâches programmées récentes, les modules DLL qui chargent des emplacements inhabituels et des connexions sortantes vers des services de stockage en nuage inhabituels, dans le cadre de la recherche d'indicateurs d'engagement liés à cette campagne.
L'utilisation de techniques telles que l'inlay shellcode dans les fichiers PNG et le détournement de composants COM montre une tendance observable dans les intrusions sophistiquées : les attaquants combinent des vecteurs d'uscation et de persistance pour contourner les contrôles automatiques et obtenir une exécution persistante dans les systèmes d'intérêt. Pour cette raison, la réponse ne peut pas se limiter à un seul patch; elle devrait comprendre une surveillance continue, une segmentation du réseau, des contrôles d'accès améliorés et une formation spécifique pour les équipes qui gèrent des comptes privilégiés.
Outre le rapport technique du CERT-UA qui contient l'enquête initiale, il est recommandé que les agents de sécurité consultent les avis et les guides de bonnes pratiques des organismes et fournisseurs internationaux pour tenir les défenses à jour et coordonner les réponses. Le rapport CERT-UA sur cette affaire est accessible au public et contient des détails utiles pour les équipes SOC: Rapport CERT-AU. Pour une vision plus large de la priorité des vulnérabilités exploitées activement, le catalogue des vulnérabilités exploitées par les acteurs connus dans le CISA C'est une source utile.
En bref, la combinaison d'une vulnérabilité de zéro jour, de documents trompeurs avec des thèmes plausibles et d'une chaîne d'exécution technique bien adaptée montre pourquoi les mises à jour hors cycle devraient être prises au sérieux. Si l'organisation n'a pas encore appliqué le correctif pour CVE-2026-21509, ce qui fait que la première priorité de sécurité peut faire la différence entre une tentative d'intrusion ratée et un écart de réseau profond. En même temps, la surveillance des connexions aux services de stockage de cloud non autorisés et l'examen d'artefacts tels que OneDriveHealth, EhStoreShell.dll ou des images avec comportement suspect aideront à détecter des engagements qui ont ignoré les défenses initiales.
Pour ceux qui veulent étudier les outils en cause, le cadre COVENANT, souvent cité dans l'analyse post-exploitation, a son dépôt public avec des informations techniques dans GitHub: Alliance dans GitHub. Ces informations techniques, combinées aux indicateurs publiés par des équipes telles que CERT-UA, facilitent l'élaboration de règles de détection et de blocage plus efficaces contre des campagnes similaires.
L'histoire reste ouverte : le CERT-UA et d'autres laboratoires continueront de publier des mises à jour si de nouvelles variantes ou infrastructures liées à cette campagne sont identifiées. Le maintien de voies de communication ouvertes avec la communauté et la mise en œuvre de mesures de prévention et de détection sont désormais le meilleur moyen de réduire les risques que posent les acteurs disposant de ressources publiques. Pendant ce temps, appliquer le patch, redémarrer les applications touchées et renforcer l'observabilité du réseau et les paramètres sont des étapes concrètes qui peuvent contenir la menace.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...