Az ukrán CERT (CERT-UA) szerint az Oroszországhoz köthető kiberbűnözői csoportok egy olyan Microsoft Office sebezhetőség (CVE-2026-21509) kihasználásával hajtanak végre rosszindulatú műveleteket, amelynek javítására sürgősségi, soron kívüli frissítést adott ki a Microsoft még január 26-án. A sebezhetőség az Office több verzióját is érinti, ráadásul aktívan kihasznált nulladik napi sérülékenységként is megjelölték.
A Microsoft hibajavítása után három nappal a CERT-UA olyan rosszindulatú DOC fájlok terjedésére lett figyelmes, amelyek témájukat tekintve az EU COREPER (Állandó Képviselők Bizottsága) konzultációkhoz kapcsolódnak. Egy másik támadási kampánynál ugyanezen rosszindulatú e-mailek az ukrán Hidrometeorológiai Központot személyesítették meg és több mint 60 kormányzati e-mail címre kerültek kiküldésre. A rosszindulatú dokumentum metaadatainak vizsgálata szerint magát a fájlt a hibajavítás utáni napon hozták létre és – az ukrán CERT feltevése szerint – az APT28 (Fancy Bear, Sofacy) kiberbűnözői csoporthoz köthető.
A rosszindulatú dokumentum megnyitása egy WebDAV-alapú letöltési láncot indít el, amely COM eltérítéssel egy rosszindulatú programot telepítés egy DLL fájlt (EhStoreShell.dll), egy képfájlba rejtett shellkódot (SplashScreen.png) és egy ütemezett feladatot (OneDriveHealth) is letölt. Az ütemezett feladat az explorer.exe folyamat leállításához és újraindításához vezet, amely biztosítja a COM eltérítésnek köszönhető EhStoreShell.dll fájl betöltését. Ez a DLL egy shell kódotfuttat a képfájlból, ami biztosítja a Covenant szoftver (keretrendszer) elindítását az eszközön. A támadással kapcsolatban további részletek a CERT-UA jelentésében olvashatók. Az ukrán CERT szerint a támadási kampányban három ilyen rosszindulatú dokumentummal veszi célba áldozatait az APT28, amelyek között EU-s szervezetek is szerepelnek.
A sebezhetőségben érintetteknek mindenképp javasolt a legújabb biztonsági frissítések telepítése a Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 és a Microsoft 365 alkalmazásokra. Az Office 2021 és annál újabb verziók esetén a felhasználók mindenképp indítsák újra eszközeiket a frissítések telepítése érdekében. Amennyiben egy szervezetnél az azonnali frissítés nem megoldható, ajánlott a sebezhetőség eredeti leírásában található kockázat csökkentő beállítások végrehajtása.