Operation Neusploit. Tel est le nom de la dernière campagne malveillante attribuée au cybergang APT28 affilié à l'Etat russe ayant réussi l'exploitation de la toute récente faille zero day dans Microsoft Office (les versions 2016 à 2021). La campagne a été repérée par les chercheurs en sécurité de ZScaler ThreatLabz, trois jours après que l'éditeur de Redmond ait publié un correctif urgent pour cette vulnérabilité. « Dans cette campagne, l'auteur de la menace a utilisé des fichiers RTF Microsoft spécialement conçus pour exploiter la faille CVE-2026-21509 et diffuser des portes dérobées malveillantes dans une chaîne d'infection en plusieurs étapes », ont déclaré les chercheurs dans un billet de blog. « ThreatLabz a observé une exploitation active dans la nature le 29 janvier 2026. »

La campagne ciblait les utilisateurs de certaines régions d'Europe centrale et orientale, notamment l'Ukraine, la Slovaquie et la Roumanie, à l'aide d'appâts d'ingénierie sociale personnalisés. Les fichiers au format RTF (rich text format) spécialement conçus dans le cadre de cette attaque déclanchent une chaîne d'infection en plusieurs étapes menant à des portes dérobées et à l'implantation de logiciels malveillants. En raison du chevauchement important entre les outils, techniques et procédures (TTP) utilisés dans cette opération et ceux du cybergang APT28 (alias Fancy Bear), affilié à la direction principale du renseignement de l'état-major général russe (GRU), ZScaler a attribué cette campagne à ce dernier.

Une campagne, deux voies d'infection

L'opération Neusploit s'appuie largement sur CVE-2026-21509, un bug Office très grave que le fournisseur a corrigé après avoir reçu des signalements d'exploitation active. L'infection commence lorsque les victimes reçoivent un email contenant une pièce jointe RTF qui contient un exploit. Une fois ouvert, le fichier RTF oblige Office à exécuter un code qui contacte l'infrastructure de l'acteur malveillant et télécharge un dropper DLL, cette dernière exécutant ensuite le reste de la chaîne malveillante. « L'acteur malveillant a utilisé des techniques d'évasion côté serveur, ne répondant avec la DLL malveillante que lorsque les requêtes provenaient de la région géographique ciblée et incluaient l'en-tête HTTP User-Agent correct », ont déclaré les chercheurs. La campagne a utilisé deux variantes différentes du dropper DLL, déployant différents composants à des fins différentes.

ZScaler a découvert que l'exploitation de CVE-2026-21509 n'entraînait pas une seule charge utile uniforme. Au contraire, l'exploit initial basé sur RTF se divisait en deux voies d'infection distinctes, chacune ayant un objectif opérationnel différent. Le choix du dropper déterminait apparemment si les attaquants privilégiaient la collecte d'informations à court terme ou l'accès à long terme aux systèmes compromis. Dans un chemin, l'exploit livrait MiniDoor, une DLL légère axée sur le vol d'e-mails. Le malware modifiait les paramètres du registre Windows afin d'affaiblir les contrôles de sécurité de Microsoft Outlook, ce qui lui permettait de collecter et d'exfiltrer discrètement des données d'e-mails vers une infrastructure contrôlée par les attaquants. La conception et les fonctionnalités de MiniDoor ressemblent étroitement aux anciens outils APT28, ce qui correspond aux attaques axées sur l'espionnage habituelles du groupe. La deuxième voie impliquait une chaîne plus élaborée qui commençait par PixyNetLoader, qui déployait des charges utiles supplémentaires et établissait une persistance à l'aide de techniques telles que le proxy DLL et le détournement d'objets COM. Ce chargeur installait finalement un implant Covenant Grunt, utilisé spécifiquement dans le cadre d'un serveur de commande et de contrôle (c2) .NET, donnant aux attaquants un accès distant direct via leur infrastructure malveillante hébergée dans le cloud.

Des efforts de remédiation

ZScaler a recommandé aux entreprises de prioriser l'application du correctif CVE-2026-21509. Les systèmes exécutant des versions non corrigées d'Office restent exposés à des documents RTF malveillants qui ne nécessitent que l'ouverture du fichier par l'utilisateur, ce qui augmente considérablement le risque de compromission dans les scénarios d'attaques par e-mail.

À des fins d'analyse défensive, ZScaler a partagé des référentiels GitHub, notamment le fichier de configuration des tâches planifiées Windows et le code macro MiniDoor, illustrant les chemins d'attaque utilisés dans l'opération Neusploit. En outre, la divulgation a partagé une liste d'indicateurs de compromission (IOC) pour soutenir les efforts de détection, qui comprenait des hachages de fichiers, des domaines malveillants et des URL. La Cisa a ajouté la faille à sa base de données des vulnérabilités connues exploitées (KEV), donnant aux agences de la branche exécutive civile fédérale (FCEB) jusqu'au 16 février pour corriger leurs systèmes.