{"id":187,"date":"2026-06-23T08:36:14","date_gmt":"2026-06-23T08:36:14","guid":{"rendered":"https:\/\/shattered.io\/dk\/2026\/06\/23\/apt28-operation-neusploit-cve-2026-21509\/"},"modified":"2026-06-23T08:38:03","modified_gmt":"2026-06-23T08:38:03","slug":"apt28-operation-neusploit-cve-2026-21509","status":"publish","type":"post","link":"https:\/\/shattered.io\/dk\/apt28-operation-neusploit-cve-2026-21509\/","title":{"rendered":"APT28 Operation Neusploit: CVE-2026-21509 Rammer EU-Milit\u00e6r i 24 Timer [2026]"},"content":{"rendered":"\n

CVE-2026-21509<\/strong> er en sikkerhedsfunktionsomg\u00e5else i Microsoft Office med CVSS-score 7.8, der blev udnyttet af den russiske statslige hackergruppe APT28 inden for blot 24 timer efter offentligg\u00f8relsen den 26. januar 2026. Kampagnen, d\u00f8bt Operation Neusploit af Zscaler ThreatLabz, kompromitterede forsvarsministerier, maritime transportorganisationer og diplomatiske enheder i mindst ni \u00f8steurop\u00e6iske nationer via spear-phishing-e-mails med ondsindede RTF-vedh\u00e6ftninger. Angrebet understreger, at statsst\u00f8ttede akt\u00f8rer nu r\u00e5der over kapaciteten til at omdanne offentliggjorte sikkerhedsfejl til v\u00e5ben p\u00e5 under \u00e9n dag, og det s\u00e6tter direkte sp\u00f8rgsm\u00e5lstegn ved patchhastighed i hele EU.<\/p>\n\n\n\n

Microsoft udsteder n\u00f8dpatch den 26. januar 2026<\/h2>\n\n\n\n

Den 26. januar 2026 udsendte Microsoft en ekstraordin\u00e6r sikkerhedsopdatering uden for den normale Patch Tuesday-cyklus. CVE-2026-21509 var allerede under aktiv udnyttelse i naturen, da patchen blev frigivet. Det er sj\u00e6ldent, men ikke uh\u00f8rt, at Microsoft skubber en n\u00f8dpatch ud. Det sker typisk kun, n\u00e5r en s\u00e5rbarhed truer kritisk infrastruktur p\u00e5 global skala.<\/p>\n\n\n\n

S\u00e5rbarheden rammer alle Office-versioner fra 2016 frem til de nyeste Microsoft 365-pakker. If\u00f8lge B.D. Emersons sikkerhedsanalyse<\/a> mapper CVE-2026-21509 til CWE-807, dvs. en fejl i at stole p\u00e5 ukontrollerede input i en sikkerhedsbeslutning. Den konkrete mekanisme: Office tillader fejlagtigt indlejrede OLE-objekter at udf\u00f8res via WebDAV-protokollen uden brugerinteraktion ud over at \u00e5bne dokumentet. Ingen dialog, ingen advarsel.<\/p>\n\n\n\n

Det Amerikanske Cybersecurity and Infrastructure Security Agency (CISA) tilf\u00f8jede straks CVE-2026-21509 til Known Exploited Vulnerabilities (KEV)-kataloget<\/strong> med en bindende deadline: alle f\u00f8derale myndigheder skulle have patchet senest 16. februar 2026. Den strenge deadline afspejler den reelle risiko. En upatchet Office-installation er i praksis et \u00e5bent vindue for et af verdens farligste hackerhold.<\/p>\n\n\n\n

CVE-2026-21509: Hvad CVSS 7.8 betyder i praksis<\/h2>\n\n\n\n

CVSS-score 7.8 klassificeres som H\u00f8j<\/strong> alvorlighed. Det betyder, at en angriber med lokal adgang eller via social engineering kan opn\u00e5 fuld systemkompromittering. Scoren afspejler, at angrebet kr\u00e6ver nogen form for brugerinteraktion (\u00e5bning af en fil), men at den efterf\u00f8lgende udnyttelse sker automatisk uden yderligere handling fra offeret.<\/p>\n\n\n\n

If\u00f8lge CVE.org’s officielle registrering<\/a> giver CVE-2026-21509 en uautoriseret angriber mulighed for at omg\u00e5 en sikkerhedsfunktion lokalt. I praksis udnytter APT28 s\u00e5rbarheden via RTF-filer indlejret med ondsindede OLE-objekter. N\u00e5r filen \u00e5bnes i Word eller en anden Office-applikation, afvikles koden automatisk via WebDAV-fetch-mekanismen. Ingen makro, ingen UAC-prompt, ingen advarsel. Det er det, der adskiller CVE-2026-21509 fra traditionelle Office-angreb, og det er pr\u00e6cis det, der g\u00f8r det til et effektivt spionagev\u00e6rkt\u00f8j.<\/p>\n\n\n\n

Parameter<\/th>Detalje<\/th><\/tr><\/thead>
CVE-ID<\/td>CVE-2026-21509<\/td><\/tr>
CVSS-score<\/td>7.8 (H\u00f8j)<\/td><\/tr>
CWE-klasse<\/td>CWE-807: Usikker inputvalidering i sikkerhedsbeslutning<\/td><\/tr>
S\u00e5rbarhedstype<\/td>Sikkerhedsfunktionsomg\u00e5else<\/td><\/tr>
Patch udgivet<\/td>26. januar 2026 (n\u00f8dpatch)<\/td><\/tr>
Udnyttelse observeret<\/td>29. januar 2026 (Zscaler ThreatLabz)<\/td><\/tr>
CISA KEV-deadline<\/td>16. februar 2026 (f\u00f8derale myndigheder)<\/td><\/tr>
Ber\u00f8rte versioner<\/td>Office 2016, 2019, LTSC 2021, LTSC 2024, 365 Apps<\/td><\/tr>
Angrebsvektor<\/td>Spear-phishing via e-mail, ondsindet RTF-fil<\/td><\/tr>
Brugerinteraktion kr\u00e6vet<\/td>\u00c5bning af dokument (ingen makro n\u00f8dvendig)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

APT28: Kremls digitale angrebsstyrke bag Neusploit<\/h2>\n\n\n\n

APT28, ogs\u00e5 kendt som Fancy Bear og officielt sporet som UAC-0001 af ukrainske sikkerhedsmyndigheder, er en avanceret persistent trusselgruppe tilknyttet den russiske milit\u00e6reftretning GRU (Glavnoye Razvedyvatelnoye Upravleniye). Gruppen har siden mindst 2007 gennemf\u00f8rt espionagekampagner mod regeringer, milit\u00e6rorganisationer og kritisk infrastruktur i Europa, USA og Ukraine.<\/p>\n\n\n\n

APT28 er ansvarlig for en lang r\u00e6kke h\u00f8jprofilerede operationer: hacket af den tyske Forbundsdag i 2015, fors\u00f8get p\u00e5 at p\u00e5virke det franske pr\u00e6sidentvalg i 2017 og kompromitteringen af NATO-associeret infrastruktur i 2023-2024. Gruppen er karakteriseret ved hurtig v\u00e5benisering af nye s\u00e5rbarheder, sofistikeret social engineering og brug af legitime cloud-tjenester som kommando-og-kontrol (C2)-infrastruktur for at undg\u00e5 opdagelse. Det er ikke en gruppe, der opererer opportunistisk. Hvert m\u00e5l er valgt med pr\u00e6cision.<\/p>\n\n\n\n

If\u00f8lge CERT-UA’s officielle attribution (CERT-UA#19542)<\/strong> fra januar 2026 er angrebene mod ukrainske statsorganer og EU-institutioner, der udnytter CVE-2026-21509, tilskrevet UAC-0001 med h\u00f8j sikkerhed. Zscaler ThreatLabz bekr\u00e6ftede tilskrivningen baseret p\u00e5 “betydelige overlapninger i v\u00e6rkt\u00f8jer, teknikker og procedurer (TTP’er) med tidligere APT28-kampagner, herunder Operation Phantom Net Voxel.”<\/p>\n\n\n\n

Operation Neusploit: Fra offentligg\u00f8relse til aktiv udnyttelse p\u00e5 24 timer<\/h2>\n\n\n\n

Tidslinjen for Operation Neusploit er alarmerende komprimeret. Microsoft offentliggjorde CVE-2026-21509 og frigjorde patchen den 26. januar 2026. Tre dage senere, den 29. januar, registrerede Zscaler ThreatLabz de f\u00f8rste aktive angreb i naturen. If\u00f8lge Trellix’s analyse stod APT28 klar med et fungerende exploit inden for 24 timer efter offentligg\u00f8relsen.<\/p>\n\n\n\n

“Vi observerede APT28 bev\u00e6bne Microsoft Office one-day inden for 24 timer efter offentligg\u00f8relsen og rette kampagnen mod europ\u00e6iske milit\u00e6r- og regeringsenheder, s\u00e6rligt maritime og transportorganisationer,” rapporterede Trellix Security Research<\/strong> i analysen fra 4. februar 2026. Den 72 timer lange koncentrerede spear-phishing-kampagne fra 28. til 30. januar resulterede i mindst 29 distinkte phishing-e-mails sendt til m\u00e5l i ni \u00f8steurop\u00e6iske nationer.<\/p>\n\n\n\n

Fordelingen af angrebsm\u00e5l var pr\u00e6cis planlagt: 40 procent af angrebene rettede sig mod forsvarsministerier, 35 procent mod transport- og logistikoperat\u00f8rer og 25 procent mod diplomatiske enheder. De prim\u00e6rt ramte lande inkluderede Polen, Slovenien, Tyrkiet, Gr\u00e6kenland, UAE og Ukraine. Loke-dokumenterne var lokaliseret p\u00e5 ukrainsk, rum\u00e6nsk og slovakisk for at \u00f8ge trov\u00e6rdigheden over for de specifikke m\u00e5l, et tr\u00e6k der viser forudg\u00e5ende efterretningsindsamling om hvert enkelt offer.<\/p>\n\n\n\n

Infektionsk\u00e6den: Fra RTF-fil til fuld systemkontrol<\/h2>\n\n\n\n

Angrebet begynder med en tilsyneladende legitim e-mail, typisk med emner relateret til forsvarsudbudsmateriale, transportreguleringer eller diplomatisk korrespondance. Vedh\u00e6ftningen er en RTF-fil, der ved \u00e5bning automatisk udnytter CVE-2026-21509 til at eksekvere kode via Office’s fejlagtige behandling af WebDAV-fetchede OLE-objekter.<\/p>\n\n\n\n

If\u00f8lge Zscaler ThreatLabz’s dybdeg\u00e5ende analyse af Operation Neusploit<\/a> identificerede de to varianter af angrebsk\u00e6den. Begge starter med den ondsindede RTF-fil, men f\u00f8rer til forskellige malware-payloads. F\u00e6lles for begge er overf\u00f8rslen af en ondsindet dropper-DLL fra angriberens server efter vellykket udnyttelse.<\/p>\n\n\n\n

MiniDoor: E-mail-stj\u00e6ler via Outlook<\/h3>\n\n\n\n

Den f\u00f8rste angrebsvariant installerer MiniDoor<\/strong>, en Outlook-makrobaseret e-mail-stj\u00e6ler. MiniDoor intercepterer udg\u00e5ende og indg\u00e5ende Outlook-kommunikation og eksfiltrerer e-mailindhold, vedh\u00e6ftninger og kontaktlister til APT28’s infrastruktur. For forsvarsministerier og diplomatiske m\u00e5l er denne datatype ekstremt kritisk. Den kan afsl\u00f8re igangv\u00e6rende forhandlinger, leverand\u00f8rkommunikation og fortrolig korrespondance, pr\u00e6cis det APT28 s\u00f8ger som GRU-udsendt spionageenhed.<\/p>\n\n\n\n

PixyNetLoader, Covenant Grunt og NotDoor<\/h3>\n\n\n\n

Den anden variant bruger PixyNetLoader<\/strong> som mellemled til at deploye et Covenant Grunt<\/strong>-C2-implantat. Covenant er et open source command-and-control-framework, og APT28 har modificeret en version (CovenantGrunt) tilpasset operationelle behov. Gruppen anvender filen.io<\/strong>, en legitim cloud-lagertjeneste, som C2-infrastruktur for at blande ondsindet trafik med normal brugeraktivitet og undg\u00e5 netv\u00e6rksbaseret detektion. En tredje komponent, NotDoor<\/strong>, er en Outlook VBA-bagd\u00f8r, der giver vedvarende adgang til kompromitterede systemer, selv efter genstart og reauthentication.<\/p>\n\n\n\n

Angrebsstatistik: Operation Neusploit i tal<\/h2>\n\n\n\n
Parameter<\/th>Data<\/th><\/tr><\/thead>
Kampagnekodename<\/td>Operation Neusploit<\/td><\/tr>
Intensiv angrebsfase<\/td>28.-30. januar 2026 (72 timer)<\/td><\/tr>
Antal registrerede phishing-e-mails<\/td>29 distinkte e-mails<\/td><\/tr>
Ber\u00f8rte nationer<\/td>9 (Polen, Slovenien, Tyrkiet, Gr\u00e6kenland, UAE, Ukraine m.fl.)<\/td><\/tr>
Forsvarsministerier (andel af m\u00e5l)<\/td>40 %<\/td><\/tr>
Transport og logistik (andel af m\u00e5l)<\/td>35 %<\/td><\/tr>
Diplomatiske enheder (andel af m\u00e5l)<\/td>25 %<\/td><\/tr>
E-mail-stj\u00e6ler<\/td>MiniDoor<\/td><\/tr>
Downloader<\/td>PixyNetLoader<\/td><\/tr>
C2-implantat<\/td>Covenant Grunt (modificeret)<\/td><\/tr>
C2-infrastruktur<\/td>filen.io (legitim cloud-tjeneste)<\/td><\/tr>
Attribution<\/td>APT28 \/ UAC-0001 (h\u00f8j sikkerhed, CERT-UA + Zscaler)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Norden i skudlinjen: 41 cyberangreb mod danske organisationer i 2025<\/h2>\n\n\n\n

Operation Neusploit er ikke sket i et vakuum. If\u00f8lge Check Points Cyber Security Report 2026<\/a> steg cyberangreb i Europa med 20 procent i 2025 sammenlignet med 2024. DNV’s rapport om nordisk cybermodstandsdygtighed dokumenterede 41 cyberangreb mod danske organisationer i 2025, 60 i Sverige, 44 i Finland og 21 i Norge. Danmark er det tredjemest ramte nordiske land i antal h\u00e6ndelser, men det europ\u00e6iske land med flest kritiske datal\u00e6k per virksomhed<\/strong>, et s\u00e6rdeles bekymrende m\u00f8nster.<\/p>\n\n\n\n

APT28 har historisk koncentreret sin aktivitet i \u00d8steuropa og Ukraine, men Operation Neusploit’s angrebsm\u00f8nster udvides mod hele EU. Polen er allerede n\u00e6vnt som direkte m\u00e5l, og maritime og transport-organisationer i Norden er naturlige n\u00e6ste skridt for en gruppe med fokus p\u00e5 logistik- og forsvarsrelateret spionage. Danmarks position som NATO-ally med strategisk vigtige havne, forsvarsleverand\u00f8rer og energiinfrastruktur g\u00f8r landet til et sandsynligt prioriteret m\u00e5l i n\u00e6ste fase.<\/p>\n