CVE-2026-21509 er en sikkerhedsfunktionsomgåelse i Microsoft Office med CVSS-score 7.8, der blev udnyttet af den russiske statslige hackergruppe APT28 inden for blot 24 timer efter offentliggørelsen den 26. januar 2026. Kampagnen, døbt Operation Neusploit af Zscaler ThreatLabz, kompromitterede forsvarsministerier, maritime transportorganisationer og diplomatiske enheder i mindst ni østeuropæiske nationer via spear-phishing-e-mails med ondsindede RTF-vedhæftninger. Angrebet understreger, at statsstøttede aktører nu råder over kapaciteten til at omdanne offentliggjorte sikkerhedsfejl til våben på under én dag, og det sætter direkte spørgsmålstegn ved patchhastighed i hele EU.
Microsoft udsteder nødpatch den 26. januar 2026
Den 26. januar 2026 udsendte Microsoft en ekstraordinær sikkerhedsopdatering uden for den normale Patch Tuesday-cyklus. CVE-2026-21509 var allerede under aktiv udnyttelse i naturen, da patchen blev frigivet. Det er sjældent, men ikke uhørt, at Microsoft skubber en nødpatch ud. Det sker typisk kun, når en sårbarhed truer kritisk infrastruktur på global skala.
Sårbarheden rammer alle Office-versioner fra 2016 frem til de nyeste Microsoft 365-pakker. Ifølge B.D. Emersons sikkerhedsanalyse mapper CVE-2026-21509 til CWE-807, dvs. en fejl i at stole på ukontrollerede input i en sikkerhedsbeslutning. Den konkrete mekanisme: Office tillader fejlagtigt indlejrede OLE-objekter at udføres via WebDAV-protokollen uden brugerinteraktion ud over at åbne dokumentet. Ingen dialog, ingen advarsel.
Det Amerikanske Cybersecurity and Infrastructure Security Agency (CISA) tilføjede straks CVE-2026-21509 til Known Exploited Vulnerabilities (KEV)-kataloget med en bindende deadline: alle føderale myndigheder skulle have patchet senest 16. februar 2026. Den strenge deadline afspejler den reelle risiko. En upatchet Office-installation er i praksis et åbent vindue for et af verdens farligste hackerhold.
CVE-2026-21509: Hvad CVSS 7.8 betyder i praksis
CVSS-score 7.8 klassificeres som Høj alvorlighed. Det betyder, at en angriber med lokal adgang eller via social engineering kan opnå fuld systemkompromittering. Scoren afspejler, at angrebet kræver nogen form for brugerinteraktion (åbning af en fil), men at den efterfølgende udnyttelse sker automatisk uden yderligere handling fra offeret.
Ifølge CVE.org’s officielle registrering giver CVE-2026-21509 en uautoriseret angriber mulighed for at omgå en sikkerhedsfunktion lokalt. I praksis udnytter APT28 sårbarheden via RTF-filer indlejret med ondsindede OLE-objekter. Når filen åbnes i Word eller en anden Office-applikation, afvikles koden automatisk via WebDAV-fetch-mekanismen. Ingen makro, ingen UAC-prompt, ingen advarsel. Det er det, der adskiller CVE-2026-21509 fra traditionelle Office-angreb, og det er præcis det, der gør det til et effektivt spionageværktøj.
| Parameter | Detalje |
|---|---|
| CVE-ID | CVE-2026-21509 |
| CVSS-score | 7.8 (Høj) |
| CWE-klasse | CWE-807: Usikker inputvalidering i sikkerhedsbeslutning |
| Sårbarhedstype | Sikkerhedsfunktionsomgåelse |
| Patch udgivet | 26. januar 2026 (nødpatch) |
| Udnyttelse observeret | 29. januar 2026 (Zscaler ThreatLabz) |
| CISA KEV-deadline | 16. februar 2026 (føderale myndigheder) |
| Berørte versioner | Office 2016, 2019, LTSC 2021, LTSC 2024, 365 Apps |
| Angrebsvektor | Spear-phishing via e-mail, ondsindet RTF-fil |
| Brugerinteraktion krævet | Åbning af dokument (ingen makro nødvendig) |
APT28: Kremls digitale angrebsstyrke bag Neusploit
APT28, også kendt som Fancy Bear og officielt sporet som UAC-0001 af ukrainske sikkerhedsmyndigheder, er en avanceret persistent trusselgruppe tilknyttet den russiske militæreftretning GRU (Glavnoye Razvedyvatelnoye Upravleniye). Gruppen har siden mindst 2007 gennemført espionagekampagner mod regeringer, militærorganisationer og kritisk infrastruktur i Europa, USA og Ukraine.
APT28 er ansvarlig for en lang række højprofilerede operationer: hacket af den tyske Forbundsdag i 2015, forsøget på at påvirke det franske præsidentvalg i 2017 og kompromitteringen af NATO-associeret infrastruktur i 2023-2024. Gruppen er karakteriseret ved hurtig våbenisering af nye sårbarheder, sofistikeret social engineering og brug af legitime cloud-tjenester som kommando-og-kontrol (C2)-infrastruktur for at undgå opdagelse. Det er ikke en gruppe, der opererer opportunistisk. Hvert mål er valgt med præcision.
Ifølge CERT-UA’s officielle attribution (CERT-UA#19542) fra januar 2026 er angrebene mod ukrainske statsorganer og EU-institutioner, der udnytter CVE-2026-21509, tilskrevet UAC-0001 med høj sikkerhed. Zscaler ThreatLabz bekræftede tilskrivningen baseret på “betydelige overlapninger i værktøjer, teknikker og procedurer (TTP’er) med tidligere APT28-kampagner, herunder Operation Phantom Net Voxel.”
Operation Neusploit: Fra offentliggørelse til aktiv udnyttelse på 24 timer
Tidslinjen for Operation Neusploit er alarmerende komprimeret. Microsoft offentliggjorde CVE-2026-21509 og frigjorde patchen den 26. januar 2026. Tre dage senere, den 29. januar, registrerede Zscaler ThreatLabz de første aktive angreb i naturen. Ifølge Trellix’s analyse stod APT28 klar med et fungerende exploit inden for 24 timer efter offentliggørelsen.
“Vi observerede APT28 bevæbne Microsoft Office one-day inden for 24 timer efter offentliggørelsen og rette kampagnen mod europæiske militær- og regeringsenheder, særligt maritime og transportorganisationer,” rapporterede Trellix Security Research i analysen fra 4. februar 2026. Den 72 timer lange koncentrerede spear-phishing-kampagne fra 28. til 30. januar resulterede i mindst 29 distinkte phishing-e-mails sendt til mål i ni østeuropæiske nationer.
Fordelingen af angrebsmål var præcis planlagt: 40 procent af angrebene rettede sig mod forsvarsministerier, 35 procent mod transport- og logistikoperatører og 25 procent mod diplomatiske enheder. De primært ramte lande inkluderede Polen, Slovenien, Tyrkiet, Grækenland, UAE og Ukraine. Loke-dokumenterne var lokaliseret på ukrainsk, rumænsk og slovakisk for at øge troværdigheden over for de specifikke mål, et træk der viser forudgående efterretningsindsamling om hvert enkelt offer.
Infektionskæden: Fra RTF-fil til fuld systemkontrol
Angrebet begynder med en tilsyneladende legitim e-mail, typisk med emner relateret til forsvarsudbudsmateriale, transportreguleringer eller diplomatisk korrespondance. Vedhæftningen er en RTF-fil, der ved åbning automatisk udnytter CVE-2026-21509 til at eksekvere kode via Office’s fejlagtige behandling af WebDAV-fetchede OLE-objekter.
Ifølge Zscaler ThreatLabz’s dybdegående analyse af Operation Neusploit identificerede de to varianter af angrebskæden. Begge starter med den ondsindede RTF-fil, men fører til forskellige malware-payloads. Fælles for begge er overførslen af en ondsindet dropper-DLL fra angriberens server efter vellykket udnyttelse.
MiniDoor: E-mail-stjæler via Outlook
Den første angrebsvariant installerer MiniDoor, en Outlook-makrobaseret e-mail-stjæler. MiniDoor intercepterer udgående og indgående Outlook-kommunikation og eksfiltrerer e-mailindhold, vedhæftninger og kontaktlister til APT28’s infrastruktur. For forsvarsministerier og diplomatiske mål er denne datatype ekstremt kritisk. Den kan afsløre igangværende forhandlinger, leverandørkommunikation og fortrolig korrespondance, præcis det APT28 søger som GRU-udsendt spionageenhed.
PixyNetLoader, Covenant Grunt og NotDoor
Den anden variant bruger PixyNetLoader som mellemled til at deploye et Covenant Grunt-C2-implantat. Covenant er et open source command-and-control-framework, og APT28 har modificeret en version (CovenantGrunt) tilpasset operationelle behov. Gruppen anvender filen.io, en legitim cloud-lagertjeneste, som C2-infrastruktur for at blande ondsindet trafik med normal brugeraktivitet og undgå netværksbaseret detektion. En tredje komponent, NotDoor, er en Outlook VBA-bagdør, der giver vedvarende adgang til kompromitterede systemer, selv efter genstart og reauthentication.
Angrebsstatistik: Operation Neusploit i tal
| Parameter | Data |
|---|---|
| Kampagnekodename | Operation Neusploit |
| Intensiv angrebsfase | 28.-30. januar 2026 (72 timer) |
| Antal registrerede phishing-e-mails | 29 distinkte e-mails |
| Berørte nationer | 9 (Polen, Slovenien, Tyrkiet, Grækenland, UAE, Ukraine m.fl.) |
| Forsvarsministerier (andel af mål) | 40 % |
| Transport og logistik (andel af mål) | 35 % |
| Diplomatiske enheder (andel af mål) | 25 % |
| E-mail-stjæler | MiniDoor |
| Downloader | PixyNetLoader |
| C2-implantat | Covenant Grunt (modificeret) |
| C2-infrastruktur | filen.io (legitim cloud-tjeneste) |
| Attribution | APT28 / UAC-0001 (høj sikkerhed, CERT-UA + Zscaler) |
Norden i skudlinjen: 41 cyberangreb mod danske organisationer i 2025
Operation Neusploit er ikke sket i et vakuum. Ifølge Check Points Cyber Security Report 2026 steg cyberangreb i Europa med 20 procent i 2025 sammenlignet med 2024. DNV’s rapport om nordisk cybermodstandsdygtighed dokumenterede 41 cyberangreb mod danske organisationer i 2025, 60 i Sverige, 44 i Finland og 21 i Norge. Danmark er det tredjemest ramte nordiske land i antal hændelser, men det europæiske land med flest kritiske datalæk per virksomhed, et særdeles bekymrende mønster.
APT28 har historisk koncentreret sin aktivitet i Østeuropa og Ukraine, men Operation Neusploit’s angrebsmønster udvides mod hele EU. Polen er allerede nævnt som direkte mål, og maritime og transport-organisationer i Norden er naturlige næste skridt for en gruppe med fokus på logistik- og forsvarsrelateret spionage. Danmarks position som NATO-ally med strategisk vigtige havne, forsvarsleverandører og energiinfrastruktur gør landet til et sandsynligt prioriteret mål i næste fase.
Seneste nyt
CybersikkerhedCVE-2026-35616: FortiClient EMS CVSS 9.8, EKZ Infostealer [2026]Jun 23, 2026
PrivatlivDuckDuckGo vs Google vs Brave: 90% vs 0,71% Andel [2026]Jun 22, 2026
PrivatlivBrave vs Firefox vs Chrome: 109M Brugere, 44% RAM-Forskel [2026]Jun 22, 2026
CybersikkerhedGhost CMS CVE-2026-26980: 700+ Websteder Ramt, Harvard og Oxford Kompromitteret [2026]Jun 22, 2026