Une faille Office a été exploitée dans les 48 heures par des pirates russes.
Des attaquants liés à la Russie ont exploité une faille critique d’Office presque immédiatement après un correctif d’urgence de Microsoft afin de compromettre des organisations dans plusieurs pays.
Exploitation rapide après une mise à jour d’urgence
Les chercheurs de la société de sécurité Trellix signalent que le groupe de menace APT28, également connu sous le nom de Fancy Bear ou Sofacy, a exploité la vulnérabilité CVE-2026-21509 moins de 48 heures après la publication de la mise à jour non planifiée de Microsoft. En effectuant une rétro-ingénierie du correctif, les attaquants ont rapidement développé un exploit avancé, leur permettant d’installer de nouvelles portes dérobées jusqu’alors inconnues.
Attaques ciblées et invisibles
La campagne a duré 72 heures et a ciblé les services diplomatiques, les organisations de défense et les entreprises de transport et de logistique, notamment en Pologne, en Grèce, en Ukraine et aux Émirats arabes unis. Les attaques ont été conçues pour éviter la détection : le logiciel malveillant s’exécutait exclusivement en mémoire, utilisait des composants chiffrés et exploitait des services cloud légitimes comme canaux de commande et de contrôle.
Nouvelles portes dérobées
Les chercheurs ont identifié deux incidents : BeardShell et NotDoor. BeardShell permettait une exploration complète du système et un mouvement latéral au sein des réseaux, tandis que NotDoor surveillait les boîtes aux lettres Outlook et transférait secrètement les messages via des comptes de stockage cloud. Selon Trellix, la méthode de travail utilisée, le développement rapide d’exploits, les logiciels malveillants modulaires et l’exploitation d’une infrastructure de confiance correspondent exactement à APT28.