Le groupe de menaces étatiques lié à la Russie connu sous le nom d’ APT28 (alias UAC-0001) a été accusé d’attaques exploitant une faille de sécurité récemment découverte dans Microsoft Office dans le cadre d’une campagne nommée Opération Neusploit .

Zscaler ThreatLabz a déclaré avoir observé le groupe de pirates informatiques exploiter cette faille le 29 janvier 2026 lors d’attaques ciblant des utilisateurs en Ukraine, en Slovaquie et en Roumanie, trois jours après que Microsoft ait publiquement révélé l’existence du bug.

La vulnérabilité en question est CVE-2026-21509 (score CVSS : 7,8), un contournement de fonctionnalité de sécurité dans Microsoft Office qui pourrait permettre à un attaquant non autorisé d’envoyer un fichier Office spécialement conçu et de le déclencher.

« Des leurres d’ingénierie sociale ont été conçus en anglais et dans des langues localisées (roumain, slovaque et ukrainien) afin de cibler les utilisateurs des pays concernés », ont déclaré les chercheurs en sécurité Sudeep Singh et Roy Tay. « L’attaquant a utilisé des techniques d’évasion côté serveur, ne répondant avec la DLL malveillante que lorsque les requêtes provenaient de la région géographique ciblée et incluaient l’en-tête HTTP User-Agent correct. »

En résumé, les chaînes d’attaque consistent à exploiter la faille de sécurité au moyen d’un fichier RTF malveillant pour déployer deux versions différentes d’un programme d’installation : l’une conçue pour installer un voleur de courriels Outlook appelé MiniDoor , et l’autre, appelée PixyNetLoader , responsable du déploiement d’un implant Covenant Grunt.

Le premier programme d’installation sert de passerelle pour MiniDoor, une DLL en C++ qui dérobe les courriels d’un utilisateur dans différents dossiers (Boîte de réception, Courrier indésirable et Brouillons) et les transfère vers deux adresses électroniques codées en dur appartenant à un acteur malveillant : ahmeclaw2002@outlook[.]com et ahmeclaw@proton[.]me. MiniDoor est considéré comme une version allégée de NotDoor (alias GONEPOSTAL), documenté par S2 Grupo LAB52 en septembre 2025.

En revanche, le second programme d’installation, PixyNetLoader, sert à initier une chaîne d’attaque beaucoup plus élaborée. Celle-ci consiste à déployer des composants supplémentaires intégrés et à établir une persistance sur l’hôte grâce au détournement d’objets COM . Parmi les données extraites figurent un chargeur de shellcode (« EhStoreShell.dll ») et une image PNG (« SplashScreen.png »).

La principale fonction du chargeur est d’analyser le shellcode dissimulé par stéganographie dans l’image et de l’exécuter. Toutefois, le chargeur n’active sa logique malveillante que si la machine infectée n’est pas un environnement d’analyse et si le processus hôte ayant lancé la DLL est « explorer.exe ». Le logiciel malveillant reste inactif si ces conditions ne sont pas réunies.

Le shellcode extrait sert finalement à charger un assembly .NET intégré, qui n’est autre qu’un implant Grunt associé au framework de commande et de contrôle (C2) open source .NET Covenant. Il convient de noter que l’utilisation du Grunt Stager par APT28 a été mise en lumière par Sekoia en septembre 2025 dans le cadre de l’opération Phantom Net Voxel.

« La chaîne d’infection PixyNetLoader présente des similitudes notables avec l’opération Phantom Net Voxel », a déclaré Zscaler. « Bien que la campagne précédente utilisât une macro VBA, cette activité la remplace par une DLL tout en conservant des techniques similaires, notamment : (1) le détournement de COM pour l’exécution, (2) le proxy DLL, (3) les techniques de chiffrement de chaînes XOR et (4) Covenant Grunt et son chargeur de shellcode intégrés dans un PNG via la stéganographie. »

Cette découverte coïncide avec un rapport de l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) qui avait également alerté sur l’exploitation de la vulnérabilité CVE-2026-21509 par le groupe APT28. Ce dernier utilisait des documents Word pour cibler plus de 60 adresses électroniques associées aux autorités centrales du pays. L’analyse des métadonnées révèle que l’un des documents leurres a été créé le 27 janvier 2026.

« L’enquête a révélé que l’ouverture du document à l’aide de Microsoft Office entraînait l’établissement d’une connexion réseau à une ressource externe via le protocole WebDAV, suivie du téléchargement d’un fichier dont le nom de raccourci contenait un code de programme conçu pour télécharger et exécuter un fichier exécutable », a déclaré le CERT-UA.

Ceci déclenche à son tour une chaîne d’attaques identique à celle de PixyNetLoader, aboutissant au déploiement de l’implant Grunt du framework COVENANT.