Den rysk-kopplade hackergruppen APT28, även känd som Fancy Bear, har utnyttjat en nyligen upptäckt sårbarhet i Microsoft Office för att genomföra cyberattacker mot statliga mål i Ukraina och flera EU-länder. Säkerhetsmyndigheter och cybersäkerhetsföretag rapporterar att utnyttjandet av sårbarheten skett bara dagar efter att Microsoft publicerade en patch för felet, vilket visar på en snabb operativ respons från angriparsidan.
Sårbarheten, identifierad som CVE-2026-21509, är en så kallad security feature bypass i Microsoft Office som möjliggör för obehöriga aktörer att kringgå inbyggda skyddsmekanismer genom att övertyga användare att öppna särskilt utformade dokumentfiler. Felet påverkar flera versioner av Office, bland annat Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024 samt Microsoft 365 Apps for Enterprise. Microsoft utfärdade en så kallad out-of-band uppdatering den 26 januari för att åtgärda problemet, efter att ha konstaterat aktiv utnyttjande i fält.
Enligt Ukraine’s Computer Emergency Response Team (CERT-UA) identifierades de första offensiva filerna som utnyttjade sårbarheten redan den 29 januari 2026, bara tre dagar efter att den kritiska uppdateringen släppts. Dessa dokument hade temat EU-förhandlingar om Ukraina och skickades via phishing-mejl till mer än 60 e-postadresser, främst tillhörande centrala regeringsorgan. Metadata i filerna visar att de skapades den 27 januari – d.v.s. dagen efter Microsofts patchpublicering – vilket tyder på att exploit-kedjan var färdigutvecklad och väntade på publicering.
I kampanjen, som flera säkerhetsanalytiker benämner Operation Neusploit, har angriparna använt flera sofistikerade verktyg och tekniker för att säkerställa ihållande åtkomst och datainhämtning. Bland dessa återfinns bland annat bakdörrar och lastare såsom MiniDoor, PixyNetLoader och Covenant Grunt, vilka kan stjäla e-post, etablera persistens och upprätta fjärrstyrd kontroll via kommandon och kontrollserverinfrastruktur.
Attackens målgrupper återfinns främst inom centrala och östra Europa, där CERT-UA och cybersäkerhetsföretaget Zscaler har observerat utnyttjande av sårbarheten i länder som Ukraina, Slovakien och Rumänien. Angriparna har anpassat sina phishing-lurer på både engelska och lokala språk för att öka chanserna att få mottagarna att öppna de skadliga dokumenten.
Som en följd av den aktiva exploateringen har U.S. Cybersecurity and Infrastructure Security Agency (CISA) lagt till CVE-2026-21509 i sin katalog över Known Exploited Vulnerabilities, med krav på omedelbar patchning för myndighetssystem i USA.
Attacken belyser återigen hotet från avancerade, statsstödda hotaktörer och vikten av snabb patchhantering, särskilt för programvara som är utbredd i statlig och kritisk infrastruktur. Att utnyttjandet skedde så kort tid efter publiceringen av patchen understryker behovet av kontinuerlig övervakning, incidenthantering och utbildning för att förebygga att angrepp lyckas via social ingenjörskonst och manipulerade filer.
Sammanfattning:
Den rysk-stödda hackergruppen APT28 har exploaterat en ny Microsoft Office-sårbarhet (CVE-2026-21509) i målmedvetna cyberattacker mot regeringsorgan i Ukraina och EU. Exploatering skedde bara dagar efter att Microsoft släppte en patch, vilket visar hur snabbt avancerade hotaktörer kan vända nyupptäckta sårbarheter till operativa angreppsvägar. Sårbarheten har lagts till i CISA:s katalog över utnyttjade fel, och flera malware-komponenter har observerats i användning för datastöld och etablerad fjärrkontroll.
Källförteckning:
https://www.infosecurity-magazine.com/news/fancy-bear-exploits-office-flaw
https://www.theregister.com/2026/02/02/russialinked_apt28_microsoft_office_bug
https://therecord.media/russian-state-hackers-exploit-new-microsoft-flaw
https://www.securityweek.com/russias-apt28-rapidly-weaponizes-newly-patched-office-vulnerability
