Nhóm tin tặc do nhà nước Nga hậu thuẫn APT28 (còn được biết đến với tên UAC-0001) vừa bị phát hiện đứng sau một chiến dịch tấn công gián điệp mạng có tên Operation Neusploit. Chiến dịch này tận dụng một lỗ hổng bảo mật mới được công bố trong Microsoft Office để phát tán mã độc và xâm nhập hệ thống nạn nhân.
Theo Zscaler ThreatLabz, chỉ vài ngày sau khi Microsoft công bố lỗ hổng, APT28 đã nhanh chóng “vũ khí hóa” điểm yếu này để tấn công người dùng tại Ukraine, Slovakia và Romania, cho thấy tốc độ khai thác lỗ hổng của các nhóm APT ngày càng nhanh và nguy hiểm hơn.
Lỗ hổng CVE-2026-21509 cho phép kẻ tấn công gửi các tệp Office được ngụy trang để vượt qua cơ chế bảo mật và kích hoạt mã độc khi nạn nhân mở file. Đáng chú ý, APT28 còn sử dụng các “mồi nhử” lừa đảo được soạn bằng ngôn ngữ của từng quốc gia bị nhắm tới, đồng thời áp dụng kỹ thuật né tránh trên máy chủ để chỉ phát tán mã độc cho đúng mục tiêu, khiến việc phát hiện và phân tích trở nên khó khăn hơn.
Chuỗi tấn công bắt đầu từ tài liệu RTF chứa mã độc, sau đó triển khai hai nhánh tấn công khác nhau. Một nhánh dùng để đánh cắp email người dùng, nhánh còn lại cài backdoor điều khiển từ xa, giúp tin tặc duy trì quyền kiểm soát hệ thống. Đáng chú ý, mã độc được giấu trong hình ảnh bằng kỹ thuật steganography và chỉ kích hoạt khi đáp ứng đúng điều kiện môi trường, nhằm né tránh các công cụ phân tích bảo mật.
Song song với phát hiện này, CERT-UA cũng cảnh báo APT28 đang khai thác lỗ hổng trên thông qua các tài liệu Word nhắm vào các cơ quan nhà nước Ukraine. Khi người dùng mở file, hệ thống sẽ tự động kết nối ra ngoài và tải mã độc về máy, kích hoạt chuỗi xâm nhập hoàn chỉnh. Các chuyên gia an ninh mạng khuyến cáo người dùng và doanh nghiệp cần thực hiện cập nhật bản vá, kiểm soát email độc hại và nâng cao nhận thức an ninh cho người dùng.
