De aan Rusland gelieerde, door de staat gesponsorde dreigingsacteur, bekend als APT28 (ook bekend als UAC-0001) wordt toegeschreven aan aanvallen waarbij misbruik wordt gemaakt van een onlangs bekendgemaakt beveiligingslek in Microsoft Office als onderdeel van een campagne met de codenaam Operation Neusploit.
Zscaler ThreatLabz zei dat het op 29 januari 2026 had waargenomen dat de hackgroep de tekortkoming bewapende met aanvallen gericht op gebruikers in Oekraïne, Slowakije en Roemenië, drie dagen nadat Microsoft het bestaan van de bug openbaar had gemaakt.
Het beveiligingslek in kwestie is CVE-2026-21509 (CVSS-score: 7,8), een omzeiling van een beveiligingsfunctie in Microsoft Office waarmee een ongeautoriseerde aanvaller een speciaal vervaardigd Office-bestand kan verzenden en activeren.
“Social engineering-lokmiddelen werden gemaakt in zowel het Engels als in lokale talen (Roemeens, Slowaaks en Oekraïens) om de gebruikers in de respectievelijke landen te targeten”, aldus beveiligingsonderzoekers Sudeep Singh en Roy Tay. “De bedreigingsacteur maakte gebruik van ontwijkingstechnieken aan de serverzijde en reageerde alleen met de kwaadaardige DLL wanneer verzoeken afkomstig waren uit de beoogde geografische regio en de juiste User-Agent HTTP-header bevatten.”
De aanvalsketens houden in een notendop de exploitatie van het beveiligingslek in door middel van een kwaadaardig RTF-bestand om twee verschillende versies van een dropper af te leveren, één die is ontworpen om een Outlook-e-maildief te droppen genaamd MiniDooren een andere, genaamd PixyNetLoaderdat verantwoordelijk is voor de inzet van een Covenant Grunt-implantaat.
De eerste dropper fungeert als een pad voor het bedienen van MiniDoor, een op C++ gebaseerd DLL-bestand dat de e-mails van een gebruiker in verschillende mappen (Inbox, Junk en Drafts) steelt en deze doorstuurt naar twee hardgecodeerde e-mailadressen van bedreigingsactoren: ahmeclaw2002@outlook(.)com en ahmeclaw@proton(.)me. MiniDoor wordt beschouwd als een uitgeklede versie van NotDoor (ook bekend als GONEPOSTAL), die in september 2025 werd gedocumenteerd door S2 Grupo LAB52.
De tweede dropper, namelijk PixyNetLoader, wordt daarentegen gebruikt om een veel uitgebreidere aanvalsketen te initiëren, waarbij aanvullende componenten worden geleverd die erin zijn ingebed en persistentie op de host wordt ingesteld met behulp van COM-objectkaping. Onder de geëxtraheerde payloads bevinden zich een shellcode-lader (“EhStoreShell.dll”) en een PNG-afbeelding (“SplashScreen.png”).
De primaire verantwoordelijkheid van de lader is het ontleden van shellcode die verborgen is met behulp van steganografie in de afbeelding en deze uit te voeren. Dat gezegd hebbende, activeert de lader zijn kwaadaardige logica alleen als de geïnfecteerde machine geen analyseomgeving is en als het hostproces dat de DLL heeft gestart ‘explorer.exe’ is. De malware blijft inactief als niet aan de voorwaarden wordt voldaan.
De geëxtraheerde shellcode wordt uiteindelijk gebruikt om een ingebedde .NET-assembly te laden, die niets anders is dan een Grunt-implantaat dat is gekoppeld aan het open source .NET COVENANT command-and-control (C2) raamwerk. Het is vermeldenswaard dat het gebruik van de Grunt Stager door APT28 in september 2025 door Sekoia werd benadrukt in verband met een campagne genaamd Operation Phantom Net Voxel.
“De PixyNetLoader-infectieketen vertoont een opmerkelijke overlap met Operatie Phantom Net Voxel”, aldus Zscaler. “Hoewel de eerdere campagne een VBA-macro gebruikte, vervangt deze activiteit deze door een DLL met behoud van vergelijkbare technieken, waaronder (1) COM-kaping voor uitvoering, (2) DLL-proxying, (3) XOR-string-encryptietechnieken en (4) Covenant Grunt en zijn shellcode-lader ingebed in een PNG via steganografie.”
De onthulling valt samen met een rapport van het Computer Emergency Response Team van Oekraïne (CERT-UA) dat ook waarschuwde voor APT28’s misbruik van CVE-2026-21509 met behulp van Word-documenten om zich te richten op meer dan 60 e-mailadressen die verband houden met centrale uitvoerende autoriteiten in het land. Uit metadata-analyse blijkt dat een van de lokdocumenten op 27 januari 2026 is gemaakt.
“Tijdens het onderzoek is gebleken dat het openen van het document met behulp van Microsoft Office leidt tot het tot stand brengen van een netwerkverbinding met een externe bron met behulp van het WebDAV-protocol, gevolgd door het downloaden van een bestand met een snelkoppelingsbestandsnaam die programmacode bevat die is ontworpen om een uitvoerbaar bestand te downloaden en uit te voeren”, aldus CERT-UA.
Dit veroorzaakt op zijn beurt een aanvalsketen die identiek is aan PixyNetLoader, resulterend in de inzet van het Grunt-implantaat van het COVENANT-framework.
