文章总结： APT28利用微软Office零日漏洞CVE-2026-21509针对中东欧发起攻击。攻击者通过精心构造的RTF文件进行钓鱼，部署MiniDoor窃取邮件或PixyNetLoader投放CovenantGrunt后门。恶意软件具备持久化机制并利用服务端地理位置规避检测。此次活动展示了APT28能力的提升，建议受影响区域用户尽快更新微软补丁并警惕不明来源的RTF文档。 综合评分： 85 文章分类： 威胁情报,恶意软件,漏洞分析,办公安全,安全大事件

APT28 黑客利用 Microsoft Office 零日漏洞部署恶意软件

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月4日 09:01 北京

与俄罗斯有关联的高级持续威胁组织 APT28 利用微软 Office 中的零日漏洞，针对中欧和东欧发起了一场复杂的攻击活动。

威胁行为者利用专门构造的 Microsoft 富文本格式 (RTF) 文件来利用该漏洞，并通过多阶段感染链传递恶意后门。

此次行动被追踪为“新扩张行动”，标志着 APT28 的能力显著提升，并表明他们继续专注于乌克兰、斯洛伐克和罗马尼亚境内的高价值目标。

攻击始于用户收到包含武器化RTF 文档的社交工程电子邮件。

这些信息以英语和当地语言（包括罗马尼亚语、斯洛伐克语和乌克兰语）进行定制，以提高感染成功的可能性。

一旦受害者打开这些文件，漏洞就会被悄无声息地触发，使攻击者能够在受感染的系统上执行任意代码，而不会向用户发出任何可见的警告。

Zscaler 分析师于 2026 年 1 月发现了这一活动，并根据其工具、技术和程序与该组织已知行动的显著重叠，将其归因于 APT28。

研究人员观察到，在微软发布紧急安全更新以解决该漏洞三天后，即 2026 年 1 月 29 日，该漏洞在实际环境中遭到利用。

感染机制和持续生存策略

该感染链涉及两种不同的投放器恶意软件变种，旨在向受感染的系统部署不同的有效载荷。

第一个变体部署了 MiniDoor，这是一个使用 Microsoft Outlook Visual Basic for Applications (VBA) 构建的轻量级电子邮件窃取工具。

MiniDoor 的工作原理是监控Outlook登录事件，并系统性地从受感染的邮箱中窃取电子邮件。该恶意软件会将窃取的通信转发到攻击者控制的预设电子邮件地址。

为了保持持久性，该投放器会修改 Windows 注册表设置，禁用 Outlook 安全保护，并在每次应用程序启动时自动加载恶意宏。

• CVE ID：CVE-2026-21509
• 漏洞类型：远程代码执行
• 受影响的组件：Microsoft Office RTF 处理程序
• 严重程度：危急
• 补丁发布日期：2026年1月26日

第二个投放器变体部署了 PixyNetLoader，它为部署 Covenant Grunt 植入体建立了立足点，为攻击者提供了命令和控制能力。

这两种变种都采用了服务器端规避技术，仅向来自特定地理区域且带有正确 HTTP 标头的请求发送有效载荷。这种选择性发送方式显著增加了全球安全研究人员的检测和分析难度。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《APT28 黑客利用 Microsoft Office 零日漏洞部署恶意软件》