Pesquisadores de cibersegurança identificaram que o grupo de ameaças persistentes avançadas APT28, vinculado ao governo russo, está explorando uma vulnerabilidade recentemente corrigida no Microsoft Office para realizar ataques de espionagem cibernética. A falha, registrada como CVE‑2026‑21509, afeta o componente WWLIB.DLL e permite execução de código arbitrário via arquivos maliciosos. A vulnerabilidade foi corrigida pela Microsoft no ciclo de atualizações de janeiro de 2026.
No entanto, o exploit começou a ser usado poucos dias após a liberação do patch, demonstrando uma janela de oportunidade explorada por agentes com capacidade de resposta rápida. Segundo a análise, os ataques foram conduzidos por meio de campanhas de phishing com anexos no formato RTF (Rich Text Format). Ao abrir o arquivo malicioso no Word, a falha é explorada silenciosamente, permitindo que o invasor execute código no sistema da vítima sem interação adicional. A campanha tem como alvo principal organizações governamentais e diplomáticas na Europa, incluindo entidades ligadas à OTAN.
O objetivo parece ser o acesso inicial para coleta de informações estratégicas, coerente com o histórico de espionagem conduzido pelo APT28. Os pesquisadores destacam que o exploit se apoia na falta de validação adequada de memória no componente WWLIB.DLL, sendo possível acionar a execução do payload com permissões do usuário ativo. O ataque não requer macros nem scripts externos, o que ajuda a driblar medidas comuns de proteção. A entrega dos documentos infectados foi realizada por meio de e-mails cuidadosamente elaborados, com conteúdo em diversos idiomas e remetentes forjados, o que aumenta as chances de sucesso mesmo em ambientes corporativos com treinamento básico de conscientização.
