Η ομάδα κυβερνοκατασκοπείας Fancy Bear, που συνδέεται με τη Ρωσία και είναι γνωστή και ως APT28, ξεκίνησε την επιχείρηση «Operation Neusploit». Η καμπάνια αξιοποιεί zero-day ευπάθεια (CVE-2026-21509) σε αρχεία Microsoft RTF, επιτρέποντας την εκτέλεση αυθαίρετου κώδικα σε υπολογιστές θυμάτων και την εγκατάσταση επικίνδυνων backdoors και εργαλείων κλοπής email.
Fancy Bear: Στόχοι σε κεντρική και ανατολική Ευρώπη
Η επίθεση στοχεύει οργανισμούς κυρίως στην Ουκρανία, τη Σλοβακία και τη Ρουμανία, με ιδιαίτερο ενδιαφέρον για κυβερνητικούς και στρατιωτικούς φορείς. Οι επιτιθέμενοι διανέμουν κακόβουλα RTF έγγραφα μέσω phishing emails, χρησιμοποιώντας δολώματα κοινωνικής μηχανικής στα αγγλικά, ρουμανικά, σλοβακικά και ουκρανικά, συχνά μιμούμενα επίσημα κρατικά έγγραφα.
Τρόπος λειτουργίας του κακόβουλου λογισμικού
Αναλυτές ασφαλείας εντόπισαν ότι το malware μπορεί να παρακάμπτει παραδοσιακά μέτρα προστασίας, ελέγχοντας συγκεκριμένα User-Agent στοιχεία και γεωγραφικές τοποθεσίες πριν ενεργοποιηθεί. Αν πληρούνται οι συνθήκες, κατεβαίνει κακόβουλο DLL αρχείο που εγκαθιστά επιπλέον στοιχεία επίθεσης.
Το λογισμικό υποκλέπτει δεδομένα από το Microsoft Outlook, παρακολουθεί email δραστηριότητα, αποθηκεύει μηνύματα και τα στέλνει σε servers των επιτιθέμενων, ενώ δημιουργεί και μόνιμη κρυπτογραφημένη σύνδεση command-and-control για συνεχή πρόσβαση.
Μηχανισμοί μόλυνσης και παραμονής στο σύστημα
Η μόλυνση χρησιμοποιεί δύο παραλλαγές dropper DLL. Η πρώτη εγκαθιστά το MiniDoor, που τροποποιεί ρυθμίσεις Outlook και εξάγει κρυπτογραφημένο script για κλοπή email. Η δεύτερη εγκαθιστά το PixyNetLoader, το οποίο κρύβει shellcode μέσα σε αρχεία PNG με τεχνική steganography.
Για παραμονή στο σύστημα εφαρμόζεται COM hijacking, όπου κακόβουλο αρχείο καταχωρείται με νόμιμο όνομα ώστε να φορτώνεται αυτόματα με την επανεκκίνηση του Explorer, καθιστώντας τον εντοπισμό ιδιαίτερα δύσκολο.
Συστάσεις ασφαλείας προς οργανισμούς
Οι ειδικοί συνιστούν άμεση εγκατάσταση του patch για την ευπάθεια CVE-2026-21509, παρακολούθηση δικτυακής κίνησης για ύποπτα σημάδια και ενημέρωση φίλτρων email ώστε να μπλοκάρονται κακόβουλα RTF συνημμένα. Σε ορισμένες περιπτώσεις προτείνεται ακόμη και πλήρης απαγόρευση αρχείων RTF, αν δεν είναι απαραίτητα για τις επιχειρησιακές ανάγκες.