Rosyjscy hakerzy potrzebowali tylko 48 godzin. Microsoft nie zdążył załatać Office, a Polska znalazła się w zasięgu

Microsoft wydał awaryjną poprawkę bezpieczeństwa pod koniec stycznia, próbując załatać krytyczną lukę Office. Zanim administratorzy IT zdążyli wdrożyć aktualizację w swoich organizacjach, rosyjscy hakerzy zdołali nie tylko przeanalizować działanie podatności, ale też stworzyć zaawansowane narzędzia eksploitacyjne i przeprowadzić kampanię ataków wymierzoną w europejskie struktury rządowe i obronne. Wśród celów znalazły się także polskie instytucje.

Rosyjska grupa APT28 wykorzystała lukę w Microsoft Office zanim większość użytkowników zdążyła zainstalować poprawkę, demonstrując bezprecedensową szybkość reagowania na ujawnione podatności.

Grupa APT przejęła infrastrukturę hostingową Notepad++ i dystrybuowała złośliwe aktualizacje od czerwca 2025 roku

Podatność oznaczona jako CVE-2026-21509 pozwala na obejście mechanizmów zabezpieczeń OLE (Object Linking and Embedding) w Microsoft Office, dzięki czemu atakujący mogą wymusić uruchomienie niebezpiecznych kontrolek COM. W praktyce oznacza to, że samo otwarcie specjalnie spreparowanego dokumentu RTF wystarcza do zainicjowania łańcucha infekcji, bez konieczności włączania makr czy dodatkowej interakcji ze strony użytkownika. Według analityków z firm Trellix i Zscaler, grupa APT28 (znanej również jako Fancy Bear czy Forest Blizzard) wykorzystała tę lukę w skoordynowanej 72-godzinnej kampanii phishingowej rozpoczętej 28 stycznia, która objęła co najmniej 29 różnych wiadomości skierowanych do organizacji w dziewięciu krajach, głównie w Europie Wschodniej. Ofiary otrzymywały e-maile wysłane z przejętych kont rządowych z Rumunii, Boliwii i Ukrainy, zawierające dokumenty podszywające się pod oficjalne komunikaty służb meteorologicznych, ministerstw obrony czy też z uniwersytetów wojskowych.

Szef amerykańskiej agencji cyberbezpieczeństwa wgrał wrażliwe dokumenty do publicznej wersji ChatGPT

Szczególnie niepokojący jest rozkład celów ataku. Według Trellix, 40 proc. to ministerstwa obrony, 35 proc. operatorzy transportu i logistyki, a 25 proc. podmioty dyplomatyczne w Polsce, Słowenii, Turcji, Grecji, ZEA, na Ukrainie, w Rumunii i Boliwii. Atakujący wykorzystali wyrafinowany wieloetapowy mechanizm infekcji wykorzystujący podwójny scenariusz. W zależności od profilu ofiary instalowano albo backdoora BeardShell z frameworkiem Covenant (zaawansowane narzędzie zdalnego dostępu działające wyłącznie w pamięci RAM, które komunikuje się przez legalną usługę chmurową filen.io, pozorując zwykły ruch sieciowy), albo MiniDoor, czyli prostszy implant specjalizujący się w kradzieży zawartości skrzynek pocztowych Outlook i przesyłaniu ich na serwery kontrolowane przez atakujących. Cały łańcuch infekcji został zaprojektowany z myślą o unikaniu wykrycia. Wykorzystuje szyfrowane payloady, wykonanie w pamięci operacyjnej, podszywanie się pod legalne procesy systemowe, jak również podpinanie pod usługi chmurowe, które zazwyczaj znajdują się na białych listach w sieciach instytucji państwowych.

Rosyjska grupa hakerska Sandworm zaatakowała polską sieć energetyczną złośliwym oprogramowaniem DynoWiper

W ujęciu długofalowym kampania ta sygnalizuje zmianę paradygmatu cyberzagrożeń. Dawniej administratorzy mieli tygodnie na wdrożenie łatek, a obecnie proces tworzenia narzędzi ataku (tzw. weaponizacja) następuje niemal natychmiastowo Dane z 2025 roku pokazują jednak, że obecnie 50-61 proc. nowo ujawnionych luk ma gotowy exploit w ciągu 48 godzin od publikacji. APT28 zdołała skompresować ten proces do niecałej doby. Według ukraińskiego CERT-UA, pierwsze ataki wykryto niecałe 24 godziny po publikacji poprawki przez Microsoft. Dla porównania, standardowy proces wdrożenia aktualizacji w średniej organizacji rządowej obejmuje fazę testowania (3-5 dni roboczych), zatwierdzanie przez komitet zmian (kolejne 2-3 dni) i ostateczne wdrożenie (1-2 dni), co łącznie daje tydzień do dwóch. W przypadku CVE-2026-21509 atakujący mieli zatem niemal pięciokrotną przewagę czasową. To nie tylko kwestionuje skuteczność tradycyjnych harmonogramów Patch Tuesday, ale także zmusza do przemyślenia całej filozofii zarządzania podatnościami w infrastrukturze krytycznej, gdzie czas reakcji może decydować o tym, czy dane pozostaną poufne, czy trafią do wywiadu wrogiego państwa.