APT28 aprovecha una vulnerabilidad recién parcheada de Microsoft Office en tiempo récord para lanzar ataques en Europa

Apenas unos días después de que Microsoft publicara un parche de emergencia para una vulnerabilidad crítica en Office, APT28, El grupo de ciberespionaje vinculado a Rusia también conocido como Fancy Bear, ya la estaban explotando activamente en campañas dirigidas contra organizaciones de Europa Central y del Este.

La vulnerabilidad, un zero day identificada como CVE-2026-21509, fue corregida por Microsoft el pasado 26 de enero.

Según han revelado esta semana el equipo de respuesta a emergencias informáticas de Ucrania (CERT-UA) y Zscaler, APT28 comenzó a utilizar esta vulnerabilidad apenas tres días después de la publicación del parche. De hecho, uno de los documentos analizados habría sido creado el 27 de enero, apenas 24 horas después del anuncio oficial de Microsoft.

Phishing localizado 

Los ataques observados se basan en campañas de phishing que utilizan documentos RTF armados para explotar CVE-2026-21509. Los correos electrónicos emplean señuelos en inglés y en idiomas locales —ucraniano, rumano y eslovaco— con el objetivo de aumentar su credibilidad entre los destinatarios.

Zscaler ha identificado víctimas en países como Ucrania, Rumanía y Eslovaquia, y ha vinculado la campaña a APT28 con un alto grado de confianza en base a la victimología, las técnicas empleadas y el uso de herramientas previamente asociadas al grupo.

Un patrón que se repite

Aunque no se ha confirmado si APT28 explotó esta vulnerabilidad antes de que Microsoft publicara el parche, el episodio refuerza un patrón ya conocido: la capacidad del grupo para convertir en arma nuevas vulnerabilidades en cuestión de días, apostando además porque muchas organizaciones tarden en aplicar actualizaciones críticas.

Tanto Zscaler como CERT-UA han publicado indicadores de compromiso para ayudar a las organizaciones a detectar posibles infecciones y recomiendan revisar de forma prioritaria la aplicación de los parches de Microsoft Office, así como reforzar las medidas de concienciación frente a correos electrónicos sospechosos, especialmente en entornos gubernamentales y estratégicos.