Quelques jours après que Microsoft ait corrigé un Zero Day critique d’Office, le groupe russe « APT28 » exploitait déjà la faille dans une campagne en direct connue sous le nom d’Opération Neusploit.
Des attaquants liés à la Russie utiliseraient une nouvelle vulnérabilité de Microsoft dans le cadre d’une campagne coordonnée d’espionnage et de logiciels malveillants, l’opération Neusploit.
La campagne a été repérée en janvier 2026 par des chercheurs en sécurité de ZScaler ThreatLabz, trois jours après que Microsoft a publié un correctif urgent pour la faille.
« Dans cette campagne, l’acteur malveillant a exploité des fichiers Microsoft RTF spécialement conçus pour exploiter CVE-2026-21509 et créer des portes dérobées malveillantes dans une chaîne d’infection à plusieurs étapes », ont déclaré les chercheurs dans un article de blog. « ThreatLabz a observé une exploitation active dans la nature le 29 janvier 2026. »
La campagne ciblait les utilisateurs de certaines régions d’Europe centrale et orientale, notamment en Ukraine, en Slovaquie et en Roumanie, avec des leurres d’ingénierie sociale personnalisés. Les fichiers RTF (Rich Text Format) contrefaits ont déclenché la vulnérabilité d’Office dès leur ouverture, déclenchant une chaîne d’infection à plusieurs étapes menant à des portes dérobées et à l’implantation de logiciels malveillants.
En raison du chevauchement important entre les outils, techniques et procédures (TTP) de la campagne et ceux du groupe de menace APT28 (alias Fancy Bear) affilié à la Direction principale du renseignement (GRU) de l’état-major général russe, ZScaler a attribué la campagne au groupe de menace persistante avancée (APT).
Neusploit a accroché les utilisateurs via Office
L’opération Neusploit s’appuie fortement sur CVE-2026-21509, un bug de haute gravité dans Microsoft Office que Microsoft a corrigé le 26 janvier après des rapports d’exploitation active.
L’infection commence lorsque les victimes reçoivent un e-mail contenant une pièce jointe RTF contenant un exploit militarisé. Une fois ouvert, le fichier RTF amène Microsoft Office à exécuter du code qui atteint l’infrastructure des acteurs menaçants et télécharge une DLL dropper. La DLL exécute ensuite le reste de la chaîne malveillante.
« L’acteur malveillant a utilisé des techniques d’évasion côté serveur, répondant avec la DLL malveillante uniquement lorsque les requêtes provenaient de la région géographique ciblée et incluaient l’en-tête HTTP User-Agent correct », ont indiqué les chercheurs.
La campagne a utilisé deux variantes différentes de la DLL dropper, déployant différents composants à des fins différentes.
Une campagne, deux voies d’infection
ZScaler a constaté que l’exploitation de CVE-2026-21509 ne conduisait pas à une seule charge utile uniforme. Au lieu de cela, l’exploit initial basé sur RTF s’est divisé en deux chemins d’infection distincts, chacun servant un objectif opérationnel différent. Le choix du compte-gouttes aurait déterminé si les attaquants donnaient la priorité à la collecte de renseignements à court terme ou à l’accès à plus long terme aux systèmes compromis.
D’une part, l’exploit a livré MiniDoor, une DLL légère axée sur le vol de courrier électronique. Le malware a modifié les paramètres du registre Windows pour affaiblir les contrôles de sécurité de Microsoft Outlook, lui permettant ainsi de collecter et d’exfiltrer discrètement les données de courrier électronique vers une infrastructure contrôlée par les attaquants. La conception et les fonctionnalités de MiniDoor ressemblent beaucoup aux outils APT28 précédents, s’alignant sur les attaques d’espionnage établies du groupe.
La deuxième voie impliquait une chaîne plus élaborée qui a commencé avec PixyNetLoader, qui a déployé des charges utiles supplémentaires et établi la persistance à l’aide de techniques telles que le proxy DLL et le détournement d’objets COM. Ce chargeur a finalement installé un implant Covenant Grunt, utilisé spécifiquement dans le cadre de commande et de contrôle .NET (c2), offrant aux attaquants un accès à distance soutenu via l’infrastructure C2 hébergée dans le cloud.
Efforts d’atténuation
ZScaler a recommandé aux organisations de donner la priorité aux correctifs pour CVE-2026-21509, notant qu’APT28 a exploité la faille quelques jours après la publication des correctifs par Microsoft. Les systèmes exécutant des versions non corrigées de Microsoft Office restent exposés à des documents RTF militarisés qui nécessitent peu d’interaction de l’utilisateur au-delà de l’ouverture du fichier, ce qui augmente considérablement le risque de compromission dans les scénarios d’attaque par courrier électronique.
Pour une analyse défensive, ZScaler a partagé les référentiels GitHub, y compris le fichier de configuration des tâches planifiées Windows et le code de la macro MiniDoor, illustrant les chemins d’attaque utilisés dans l’opération Neusploit. De plus, la divulgation partageait une liste d’indicateurs de compromission (IOC) pour soutenir les efforts de détection, qui comprenaient des hachages de fichiers, des domaines malveillants et des URL. La CISA avait ajouté la faille à sa base de données de vulnérabilités exploitées connues (KEV), donnant aux agences du pouvoir exécutif civil fédéral (FCEB) jusqu’au 16 février pour corriger leurs systèmes.
