Servidores da Zscaler, empresa de cibersegurança, começaram a detectar algo incomum. Documentos do Microsoft Office aparentemente inofensivos estavam circulando por emails na Ucrânia, Eslováquia e Romênia. Tinham nomes como “Consultation_Topics_Ukraine(Final).doc”, “Courses.doc”, “BULLETEN_H.doc”. Pareciam relatórios de trabalho, material educacional, comunicações oficiais.
Mas quando abertos, esses arquivos transformavam computadores em postos de espionagem remotos controlados por hackers russos. Esses ataques aconteceram apenas três dias depois que a Microsoft divulgou publicamente a existência de uma falha de segurança em seu software, no que foi nomeada Operação Neusploit.
smart_display
Nossos vídeos em destaque
O cronômetro da vulnerabilidade
No dia 26 de janeiro, a Microsoft lançou uma atualização de segurança emergencial, fora do calendário normal de patches mensais. A falha foi catalogada como CVE-2026-21509 e o problema estava no modo como o Microsoft Office processava arquivos RTF.
A falha permitia que alguém criasse um arquivo RTF especial que, ao ser aberto, executasse código malicioso no computador da vítima. Não era necessário clicar em nenhum botão de confirmação ou aviso de segurança. Apenas abrir o arquivo já era suficiente. A Microsoft atribuiu à vulnerabilidade pontuação de 7.8 em gravidade (escala de 0 a 10).
Em 26 de janeiro, a Microsoft anunciou a vulnerabilidade e disponibilizou correção, no dia seguinte, os primeiros documentos maliciosos já estavam sendo criados. As pistas vieram de metadados, informações ocultas nos arquivos sobre quando foram criados.
No dia 29 de janeiro a Zscaler detecta os primeiros ataques ativos, com documentos maliciosos explorando a vulnerabilidade recém-anunciada.
Quem é o APT28?
APT28 é uma organização sofisticada financiada pelo governo russo. O termo “APT” significa “Advanced Persistent Threat” — Ameaça Persistente Avançada, grupos que fazem campanhas prolongadas e tecnicamente sofisticadas com objetivos de inteligência de Estado.
O APT28, também conhecido como UAC-0001, Fancy Bear e Strontium, tem histórico documentado de mais de uma década. Foram responsabilizados por ataques ao Comitê Nacional Democrata dos EUA em 2016, invasões à Agência Mundial Antidoping e inúmeras campanhas contra países do Leste Europeu.
A isca perfeita
Os alvos foram Ucrânia, Eslováquia e Romênia, países com relevância geopolítica para a Rússia. Os atacantes criaram documentos culturalmente apropriados em inglês, romeno, eslovaco e ucraniano, com títulos que sugeriam urgência profissional.
A equipe de resposta a emergências cibernéticas da Ucrânia (CERT-UA) revelou que mais de 60 endereços de email de autoridades executivas centrais do país foram especificamente alvejados — funcionários de alto escalão recebendo documentos personalizados.
O servidor inteligente
Quando uma vítima abria o documento RTF, o computador tentava baixar a próxima etapa do ataque de um servidor remoto. Mas os servidores dos hackers não distribuíam malware indiscriminadamente.
Eles verificavam duas coisas: primeiro, a localização geográfica através do endereço IP, confirmando se vinha da Ucrânia, Eslováquia ou Romênia. Segundo, o “User-Agent” — verificando se era um computador Windows real rodando Office legítimo, e não ferramentas de análise de segurança.
Essa seletividade dificulta que pesquisadores consigam amostras do malware e mantém a campanha no ar por mais tempo.
Dois caminhos, dois propósitos
Após a exploração inicial, o ataque se bifurcava em dois conjuntos diferentes de ferramentas.
O primeiro caminho instalava o MiniDoor, ferramenta com propósito único: roubar emails. O malware se integra ao Microsoft Outlook, modificando configurações de segurança através do Registro do Windows.
Ele desabilita a proteção contra macros maliciosas, desliga avisos de segurança e garante que o sistema de macros carregue automaticamente. Com essas mudanças, instala um projeto VBA que fica esperando.
Quando o usuário inicia o Outlook, o MiniDoor “acorda”, espera seis segundos e começa a vasculhar a caixa de entrada, lixo eletrônico, rascunhos e feeds RSS.
Para cada email encontrado, salva uma cópia completa, cria um novo email anexando o anterior e envia para dois endereços dos atacantes (um no Outlook, outro no Proton Mail). O email de saída é automaticamente deletado, eliminando evidências.
Para evitar duplicatas, marca cada email processado com propriedade invisível chamada “AlreadyForwarded”. Toda vez que um novo email chega, o malware executa a mesma rotina, os atacantes recebem emails praticamente no mesmo momento que a vítima.
O nome “MiniDoor” vem do fato de ser versão simplificada de outro malware chamado NotDoor, também atribuído ao APT28.
O segundo caminho é mais sofisticado. O PixyNetLoader instala múltiplos componentes e cria arquitetura em camadas com verificações de segurança.
Quando executa pela primeira vez, desempacota três payloads criptografados:
- SplashScreen.png: Imagem de 234 KB que parece comum, mas esconde código malicioso através de esteganografia.
- EhStoreShell.dll: Biblioteca com nome idêntico a componente legítimo do Windows.
- office.xml: Arquivo com instruções para criar tarefa agendada do Windows.
Esses arquivos são colocados em locais que parecem relacionados a software legítimo da Microsoft — a imagem em pasta do OneDrive, a DLL em diretório do Windows Update, o XML em pasta de diagnósticos. Essa estratégia de “viver da terra” dificulta a detecção.
COM hijacking
A técnica de persistência usa “COM hijacking”. O malware modifica o registro para que, quando o sistema precisar usar determinado componente, carregue a DLL maliciosa em vez da legítima.
A DLL não quebra funcionalidades, implementa “DLL proxying” que redireciona chamadas para a DLL legítima enquanto executa código malicioso nos bastidores.
Antes de ativar, realiza verificações anti-análise. Por exemplo, ele confirma se foi carregada pelo explorer.exe e testa se a função Sleep() foi manipulada (comum em sandboxes). Se passar, extrai shellcode escondido na imagem PNG usando esteganografia LSB — técnica que substitui o último bit de cada byte da imagem por dados secretos, imperceptível ao olho humano.
O shellcode carrega um “Grunt” da framework Covenant, uma ferramenta de comando e controle originalmente criada para testes de segurança.
Abusando de serviços legítimos
O Grunt não se comunica diretamente com servidores dos atacantes. Usa a API do Filen, serviço legítimo de armazenamento em nuvem com foco em privacidade.
Os atacantes fazem upload de comandos para uma pasta específica no Filen. O Grunt verifica periodicamente, baixa instruções, executa e faz upload dos resultados. Os atacantes então baixam usando a mesma API.
Todo tráfego é HTTPS para domínio legítimo (filen.io), indistinguível de uso normal. Não há infraestrutura direta dos atacantes para bloquear — se uma conta for descoberta, criam outra.
Como sabemos que é o APT28?
A Zscaler atribui a campanha ao APT28 com “alta confiança” baseada em várias evidências, incluindo os alvos estratégicos alinhados com interesses russos, MiniDoor sendo versão simplificada de NotDoor (previamente atribuído ao APT28), técnicas recorrentes vistas em operações anteriores do grupo, velocidade operacional típica de Estado-nação, e padrões de infraestrutura conhecidos.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nosso canal do YouTube e newsletter para mais notícias de segurança e tecnologia.
Fonte ==> TecMundo
