{"id":77,"date":"2026-06-14T08:54:49","date_gmt":"2026-06-14T08:54:49","guid":{"rendered":"https:\/\/shattered.io\/fi\/2026\/06\/14\/apt28-office-nollapaiva-2026\/"},"modified":"2026-06-14T12:41:00","modified_gmt":"2026-06-14T12:41:00","slug":"apt28-office-nollapaiva-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fi\/apt28-office-nollapaiva-2026\/","title":{"rendered":"Office-nollap\u00e4iv\u00e4 CVE-2026-21509: APT28 takana [2026]"},"content":{"rendered":"\n

Microsoft Officea vastaan suunnattu nollap\u00e4iv\u00e4haavoittuvuus nousi vuoden 2026 alun vakavimmaksi yritysuhaksi, kun Yhdysvaltain kyberturvallisuusvirasto CISA lis\u00e4si 26. tammikuuta 2026 luetteloonsa haavoittuvuuden CVE-2026-21509<\/strong>. Haavoittuvuutta oli jo hy\u00f6dynnetty aktiivisesti hy\u00f6kk\u00e4yksiss\u00e4, ja sen takaa paljastui Ven\u00e4j\u00e4n sotilastiedusteluun yhdistetty toimija APT28. Tapaus on osa laajempaa ilmi\u00f6t\u00e4: Googlen uhkatiedusteluyksikk\u00f6 GTIG laski 90 villiss\u00e4 luonnossa hyv\u00e4ksik\u00e4ytetty\u00e4 nollap\u00e4iv\u00e4haavoittuvuutta vuonna 2025, kun luku oli 78 vuonna 2024. Suunta on selv\u00e4, ja se koskettaa suoraan my\u00f6s suomalaisia ja pohjoismaisia organisaatioita.<\/p>\n\n\n\n

T\u00e4m\u00e4 uutisanalyysi k\u00e4y l\u00e4pi, mit\u00e4 CVE-2026-21509 -tapauksessa tapahtui, kuka APT28 on, miten hy\u00f6kk\u00e4ys teknisesti toimi ja mit\u00e4 se tarkoittaa eurooppalaisille puolustajille. Mukana on lukuja, asiantuntija-arvioita, historiallinen konteksti ja viisi ennustetta loppuvuodelle 2026.<\/p>\n\n\n\n

Mit\u00e4 CVE-2026-21509 -nollap\u00e4iv\u00e4haavoittuvuudessa tapahtui<\/h2>\n\n\n\n

CVE-2026-21509 on Microsoft Officeen ja Microsoft 365 -tuotteisiin vaikuttava haavoittuvuus, jonka avulla hy\u00f6kk\u00e4\u00e4j\u00e4 pystyy ohittamaan Officen suojausominaisuuksia. Recorded Futuren tammikuun 2026 haavoittuvuuskatsauksen mukaan vika luokiteltiin eritt\u00e4in kriittiseksi, ja sit\u00e4 hy\u00f6dynnettiin nollap\u00e4iv\u00e4n\u00e4 eli ennen kuin korjausp\u00e4ivitys oli yleisesti saatavilla. Microsoftin neuvonnassa ei ollut yksil\u00f6ity tarkkoja haavoittuvia versioita, mik\u00e4 tarkoittaa k\u00e4yt\u00e4nn\u00f6ss\u00e4, ett\u00e4 laaja joukko Office-asennuksia oli vaarassa.<\/p>\n\n\n\n

Hy\u00f6kk\u00e4yskampanjalle annettiin nimi Operation Neusploit. Tutkijoiden mukaan toimija toimitti haittakoodin aseistetuilla RTF-tiedostoilla, jotka n\u00e4ytt\u00e4v\u00e4t uhrille tavallisilta tekstidokumenteilta. Avattuna tiedosto k\u00e4ynnisti ketjun, joka ohitti Officen OLE-suojaukset ja asensi koneelle vakoiluun tarkoitettuja takaovia. Raporttien mukaan hy\u00f6tykuormina k\u00e4ytettiin MiniDoor- ja PixyNetLoader-haittaohjelmia sek\u00e4 Covenant Grunt -implanttia, joka antaa hy\u00f6kk\u00e4\u00e4j\u00e4lle pysyv\u00e4n et\u00e4yhteyden kohdej\u00e4rjestelm\u00e4\u00e4n.<\/p>\n\n\n\n

Yksi katsauksen l\u00e4hde antoi haavoittuvuudelle riskipistem\u00e4\u00e4r\u00e4n 99 sadasta. On syyt\u00e4 huomata, ett\u00e4 kyseess\u00e4 ei ole virallinen CVSS-pistem\u00e4\u00e4r\u00e4 vaan toimittajakohtainen riskiluokitus. Riippumatta tarkasta numerosta arvio kertoo selv\u00e4n viestin: kyseess\u00e4 oli vakava, helposti hy\u00f6dynnett\u00e4v\u00e4 ja aktiivisesti k\u00e4ytetty haavoittuvuus, joka ansaitsi v\u00e4litt\u00f6m\u00e4n huomion. Alla on tapauksen keskeiset tiedot tiivistettyn\u00e4.<\/p>\n\n\n\n

\n
Tieto<\/th>Yksityiskohta<\/th><\/tr><\/thead>
CVE-tunnus<\/td>CVE-2026-21509<\/td><\/tr>\n
Tuote<\/td>Microsoft Office \/ Microsoft 365<\/td><\/tr>\n
Haavoittuvuustyyppi<\/td>Suojausominaisuuden ohitus (OLE-suojausten kierto)<\/td><\/tr>\n
Hy\u00f6kk\u00e4ysvektori<\/td>Aseistetut RTF-tiedostot<\/td><\/tr>\n
Toimija<\/td>APT28 (Ven\u00e4j\u00e4n sotilastiedusteluun yhdistetty)<\/td><\/tr>\n
Kampanjan nimi<\/td>Operation Neusploit<\/td><\/tr>\n
Hy\u00f6tykuormat<\/td>MiniDoor, PixyNetLoader, Covenant Grunt<\/td><\/tr>\n
Lis\u00e4tty CISA KEV -luetteloon<\/td>26. tammikuuta 2026<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Kuka on APT28 ja miksi se iskee Eurooppaan<\/h2>\n\n\n\n

APT28 tunnetaan my\u00f6s nimill\u00e4 Fancy Bear, Sofacy ja Sednit. L\u00e4nsimaisten tiedustelupalveluiden mukaan kyseess\u00e4 on Ven\u00e4j\u00e4n sotilastiedustelun GRU:n yksikk\u00f6 26165. Ryhm\u00e4 on toiminut yli vuosikymmenen, ja sen kohteina ovat olleet hallitukset, puolustusteollisuus, poliittiset puolueet, mediayhti\u00f6t ja kansainv\u00e4liset j\u00e4rjest\u00f6t. APT28:n tavoitteet ovat tyypillisesti tiedustelullisia ja poliittisia, eiv\u00e4t suoraan taloudellisia, mik\u00e4 erottaa sen rahaa tavoittelevista kiristysohjelmajengeist\u00e4.<\/p>\n\n\n\n

Eurooppa on ryhm\u00e4lle keskeinen toiminta-alue. APT28 on yhdistetty Saksan liittop\u00e4ivien laajaan tietomurtoon vuonna 2015, Yhdysvaltain demokraattipuolueen vuotoihin vuonna 2016, kemiallisten aseiden kieltoj\u00e4rjest\u00f6n OPCW:n vastaiseen operaatioon Haagissa vuonna 2018 sek\u00e4 Norjan suurk\u00e4r\u00e4jien s\u00e4hk\u00f6postij\u00e4rjestelm\u00e4n murtoon vuonna 2020. Vuosina 2023 ja 2024 ryhm\u00e4 hy\u00f6dynsi Microsoft Outlookin haavoittuvuutta CVE-2023-23397 eurooppalaisia poliittisia ja sotilaallisia kohteita vastaan.<\/p>\n\n\n\n

Pohjoismaiden kannalta APT28 ei ole et\u00e4inen uhka. Norjan tapaus vuonna 2020 osoitti, ett\u00e4 ryhm\u00e4 on valmis iskem\u00e4\u00e4n suoraan pohjoismaisiin parlamentteihin. Suomen ja muiden Pohjoismaiden Nato-j\u00e4senyyden my\u00f6t\u00e4 alueen poliittinen ja sotilaallinen merkitys on kasvanut, mik\u00e4 lis\u00e4\u00e4 kiinnostusta valtiollisten toimijoiden silmiss\u00e4. Office-pohjainen hy\u00f6kk\u00e4ys, kuten CVE-2026-21509, sopii hyvin t\u00e4h\u00e4n kaavaan, koska Office on k\u00e4yt\u00f6ss\u00e4 l\u00e4hes jokaisessa hallinnon ja yrityksen ty\u00f6asemassa.<\/p>\n\n\n\n

N\u00e4in hy\u00f6kk\u00e4ys teknisesti toimi: RTF-tiedostot ja OLE<\/h2>\n\n\n\n

Ymm\u00e4rt\u00e4\u00e4kseen hy\u00f6kk\u00e4yksen vaarallisuuden kannattaa avata kaksi k\u00e4sitett\u00e4. RTF eli Rich Text Format on Microsoftin tekstidokumenttimuoto, joka n\u00e4ytt\u00e4\u00e4 tavalliselta asiakirjalta mutta voi sis\u00e4lt\u00e4\u00e4 upotettuja objekteja ja komentoja. OLE eli Object Linking and Embedding on Microsoftin tekniikka, jolla dokumenttiin voidaan upottaa toisia tiedostoja ja objekteja. Hy\u00f6kk\u00e4\u00e4j\u00e4t ovat jo vuosia v\u00e4\u00e4rink\u00e4ytt\u00e4neet OLE-objekteja piilottaakseen ja k\u00e4ynnist\u00e4\u00e4kseen haitallista koodia n\u00e4enn\u00e4isen harmittomien dokumenttien sis\u00e4ll\u00e4.<\/p>\n\n\n\n

CVE-2026-21509 -tapauksessa APT28 rakensi RTF-tiedoston, joka kiersi Officen OLE-suojaukset. Kun uhri avasi liitteen, dokumentti ei vaatinut n\u00e4kyv\u00e4\u00e4 toimintoa tai makrojen sallimista, vaan suojausominaisuuden ohitus tapahtui taustalla. T\u00e4m\u00e4 tekee hy\u00f6kk\u00e4yksest\u00e4 erityisen petollisen, koska monet organisaatiot luottavat siihen, ett\u00e4 makrojen est\u00e4minen riitt\u00e4\u00e4 suojaksi. Suojausominaisuuden ohitus ei kuitenkaan tarvitse makroja toimiakseen.<\/p>\n\n\n\n

Ketjun loppup\u00e4\u00e4ss\u00e4 ladattiin vakoiluun tarkoitetut implantit. Covenant Grunt on avoimen l\u00e4hdekoodin komento- ja hallintakehyksen agentti, jota my\u00f6s rikolliset ja valtiolliset toimijat k\u00e4ytt\u00e4v\u00e4t, koska se sulautuu normaaliin liikenteeseen ja vaikeuttaa havaitsemista. T\u00e4llainen el\u00e4v\u00e4n maaston hy\u00f6dynt\u00e4minen, jossa hy\u00f6kk\u00e4\u00e4j\u00e4 k\u00e4ytt\u00e4\u00e4 laillisia tai laajalti tunnettuja ty\u00f6kaluja, on tyypillist\u00e4 APT28:n kaltaisille edistyneille toimijoille.<\/p>\n\n\n\n

CISA KEV -luettelo ja 26. tammikuuta 2026<\/h2>\n\n\n\n

CISA:n Known Exploited Vulnerabilities eli KEV-luettelo on yksi kyberpuolustuksen t\u00e4rkeimmist\u00e4 julkisista ty\u00f6kaluista. Luetteloon p\u00e4\u00e4tyv\u00e4t vain haavoittuvuudet, joiden aktiivinen hyv\u00e4ksik\u00e4ytt\u00f6 on vahvistettu. Yhdysvaltain liittovaltion siviilihallinnon virastoja velvoittava sitova m\u00e4\u00e4r\u00e4ys edellytt\u00e4\u00e4, ett\u00e4 KEV-luetteloon lis\u00e4tyt viat korjataan CISA:n asettamaan m\u00e4\u00e4r\u00e4aikaan menness\u00e4. Vaikka velvoite koskee virallisesti Yhdysvaltain virastoja, luettelosta on tullut maailmanlaajuinen priorisointistandardi, jota my\u00f6s eurooppalaiset organisaatiot seuraavat.<\/p>\n\n\n\n

Kun CVE-2026-21509 lis\u00e4ttiin KEV-luetteloon 26. tammikuuta 2026, viesti puolustajille oli yksiselitteinen: t\u00e4m\u00e4 ei ole teoreettinen riski vaan k\u00e4ynniss\u00e4 oleva hy\u00f6kk\u00e4ys. KEV-merkint\u00e4 toimii k\u00e4yt\u00e4nn\u00f6n priorisointiohjeena tietoturvatiimeille, joiden on jatkuvasti valittava, mitk\u00e4 sadat haavoittuvuudet korjataan ensin. Aktiivisesti hy\u00f6dynnetyt viat nousevat jonon k\u00e4rkeen.<\/p>\n\n\n\n

Tammikuu 2026 oli kiireinen kuukausi. Recorded Futuren mukaan kuukauden aikana havaittiin 23 aktiivisesti hyv\u00e4ksik\u00e4ytetty\u00e4 CVE:t\u00e4, joiden joukossa oli APT28:n Office-nollap\u00e4iv\u00e4n lis\u00e4ksi kriittisi\u00e4 todennuksen ohittavia haavoittuvuuksia yritysk\u00e4yt\u00f6ss\u00e4. Volyymi kertoo, ett\u00e4 puolustajien on k\u00e4sitelt\u00e4v\u00e4 jatkuvaa virtaa kiireellisi\u00e4 korjauksia, eik\u00e4 yksitt\u00e4inen kuukausi anna heng\u00e4hdystaukoa.<\/p>\n\n\n\n

Nollap\u00e4ivien enn\u00e4tysvuosi: 90 hyv\u00e4ksik\u00e4ytt\u00f6\u00e4 vuonna 2025<\/h2>\n\n\n\n

CVE-2026-21509 ei ole poikkeus vaan jatkumo. Googlen uhatiedusteluyksikk\u00f6 GTIG raportoi maaliskuussa 2026 julkaistussa katsauksessaan, ett\u00e4 vuonna 2025 villiss\u00e4 luonnossa hy\u00f6dynnettiin 90 nollap\u00e4iv\u00e4haavoittuvuutta. Edellisvuonna luku oli 78, eli kasvua kertyi noin 15 prosenttia. GTIG:n keskeinen havainto oli, ett\u00e4 l\u00e4hes puolet n\u00e4ist\u00e4 haavoittuvuuksista kohdistui yritystuotteisiin, kuten tietoturva- ja verkkolaitteisiin, eik\u00e4 kuluttajien selaimiin tai puhelimiin kuten aiemmin.<\/p>\n\n\n\n

T\u00e4m\u00e4 siirtym\u00e4 kuluttajatuotteista yritystuotteisiin on merkitt\u00e4v\u00e4. Yritystuotteiden haavoittuvuudet antavat hy\u00f6kk\u00e4\u00e4j\u00e4lle p\u00e4\u00e4syn suoraan organisaation ytimeen, ohittaen usein perinteiset p\u00e4\u00e4telaitesuojaukset. GTIG:n arvion mukaan suuntaus heijastaa sek\u00e4 valtiollisten toimijoiden ett\u00e4 kaupallisten vakoiluohjelmatoimittajien kasvavaa kiinnostusta korkean arvon kohteisiin. Nollap\u00e4iv\u00e4haavoittuvuus on hy\u00f6kk\u00e4\u00e4j\u00e4lle arvokas, koska sit\u00e4 vastaan ei ole viel\u00e4 korjausta.<\/p>\n\n\n\n

Aktiivisesti hyv\u00e4ksik\u00e4ytetyt nollap\u00e4iv\u00e4haavoittuvuudet (l\u00e4hde: Google GTIG ja Recorded Future)<\/figcaption>\n
Ajanjakso<\/th>Hyv\u00e4ksik\u00e4ytetyt haavoittuvuudet<\/th>Huomio<\/th><\/tr><\/thead>
2024 (koko vuosi)<\/td>78 nollap\u00e4iv\u00e4\u00e4<\/td>GTIG:n vahvistama luku<\/td><\/tr>\n
2025 (koko vuosi)<\/td>90 nollap\u00e4iv\u00e4\u00e4<\/td>noin 15 % kasvu edellisvuodesta<\/td><\/tr>\n
2025: yrityskohteet<\/td>l\u00e4hes puolet kaikista<\/td>siirtym\u00e4 kuluttajatuotteista yritystuotteisiin<\/td><\/tr>\n
Tammikuu 2026<\/td>23 aktiivista CVE:t\u00e4<\/td>mukana APT28:n Office-nollap\u00e4iv\u00e4<\/td><\/tr>\n
Tammikuu 2026<\/td>CVE-2026-21509<\/td>lis\u00e4tty CISA KEV -luetteloon 26.1.2026<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Microsoftin nollap\u00e4iv\u00e4aalto alkuvuonna 2026<\/h2>\n\n\n\n

APT28:n Office-haavoittuvuus ei j\u00e4\u00e4nyt vuoden 2026 ainoaksi Microsoft-nollap\u00e4iv\u00e4ksi. Helmikuun 2026 Patch Tuesday -p\u00e4ivityksiss\u00e4 CrowdStrike nosti esiin haavoittuvuuden CVE-2026-21513, joka koski MSHTML-kehyst\u00e4 ja luokiteltiin julkisesti paljastetuksi ja aktiivisesti hyv\u00e4ksik\u00e4ytetyksi suojausominaisuuden ohitukseksi. MSHTML on vanha Internet Explorer -pohjainen render\u00f6intikomponentti, jota hy\u00f6kk\u00e4\u00e4j\u00e4t ovat toistuvasti v\u00e4\u00e4rink\u00e4ytt\u00e4neet, koska se on yh\u00e4 l\u00e4sn\u00e4 monissa Windows-ymp\u00e4rist\u00f6iss\u00e4.<\/p>\n\n\n\n

Maaliskuun 2026 Patch Tuesday korjasi puolestaan kaksi Microsoft Officen et\u00e4koodin suoritushaavoittuvuutta, CVE-2026-26110 ja CVE-2026-26113, kuten Malwarebytes raportoi. Et\u00e4koodin suoritus on haavoittuvuustyypeist\u00e4 vakavin, koska se antaa hy\u00f6kk\u00e4\u00e4j\u00e4lle mahdollisuuden ajaa omaa koodiaan uhrin koneella. Kun n\u00e4m\u00e4 yhdistet\u00e4\u00e4n tammikuun APT28-tapaukseen, syntyy kuva alkuvuodesta, jossa Microsoftin tuoteperhe oli toistuvasti hy\u00f6kk\u00e4ysten kohteena.<\/p>\n\n\n\n

Microsoftin nollap\u00e4iv\u00e4- ja kriittiset haavoittuvuudet alkuvuonna 2026<\/figcaption>\n
CVE-tunnus<\/th>Tuote \/ komponentti<\/th>Haavoittuvuustyyppi<\/th>L\u00e4hde \/ ajankohta<\/th><\/tr><\/thead>
CVE-2026-21509<\/td>Microsoft Office \/ 365<\/td>suojausominaisuuden ohitus (OLE)<\/td>APT28, CISA KEV 26.1.2026<\/td><\/tr>\n
CVE-2026-21513<\/td>MSHTML-kehys<\/td>suojausominaisuuden ohitus<\/td>CrowdStrike, helmikuun Patch Tuesday<\/td><\/tr>\n
CVE-2026-26110<\/td>Microsoft Office<\/td>et\u00e4koodin suoritus (RCE)<\/td>Malwarebytes, maaliskuun Patch Tuesday<\/td><\/tr>\n
CVE-2026-26113<\/td>Microsoft Office<\/td>et\u00e4koodin suoritus (RCE)<\/td>Malwarebytes, maaliskuun Patch Tuesday<\/td><\/tr>\n
23 CVE:t\u00e4 (kokonaiskuva)<\/td>useita yritysk\u00e4yt\u00f6n tuotteita<\/td>aktiivisesti hyv\u00e4ksik\u00e4ytetty<\/td>Recorded Future, tammikuu 2026<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Markkinavaikutus ja yritysten kustannukset<\/h2>\n\n\n\n

Nollap\u00e4iv\u00e4haavoittuvuuksien siirtyminen yritystuotteisiin muuttaa puolustajien laskelmia. Kun l\u00e4hes puolet vuoden 2025 hyv\u00e4ksik\u00e4ytetyist\u00e4 haavoittuvuuksista kohdistui yritystuotteisiin, perinteinen ajattelutapa, jossa luotetaan p\u00e4\u00e4telaitteen virustorjuntaan, ei en\u00e4\u00e4 riit\u00e4. Office-pohjainen hy\u00f6kk\u00e4ys, kuten CVE-2026-21509, hy\u00f6dynt\u00e4\u00e4 ty\u00f6kalua, joka on k\u00e4yt\u00e4nn\u00f6ss\u00e4 jokaisella ty\u00f6ntekij\u00e4ll\u00e4, joten hy\u00f6kk\u00e4yspinta on valtava.<\/p>\n\n\n\n

K\u00e4yt\u00e4nn\u00f6n kustannukset syntyv\u00e4t kolmesta l\u00e4hteest\u00e4. Ensimm\u00e4inen on korjausp\u00e4ivitysten hallinta, joka vaatii ty\u00f6aikaa ja testausta ennen p\u00e4ivitysten levitt\u00e4mist\u00e4 tuotantoon. Toinen on havainnointi ja reagointi, joka edellytt\u00e4\u00e4 investointeja p\u00e4\u00e4telaite- ja verkkovalvontaan. Kolmas on mahdollisen murron j\u00e4lkihoito, joka voi sis\u00e4lt\u00e4\u00e4 tutkinnan, tietosuojaviranomaisille ilmoittamisen ja maineen palauttamisen. Valtiollisen toimijan tunkeutuminen on erityisen kallista, koska se voi olla syv\u00e4ll\u00e4 j\u00e4rjestelmiss\u00e4 kuukausia ennen havaitsemista.<\/p>\n\n\n\n

S\u00e4\u00e4ntely lis\u00e4\u00e4 painetta entisest\u00e4\u00e4n. EU:n verkko- ja tietoturvadirektiivi NIS2 sek\u00e4 tuotteiden kyberturvallisuutta s\u00e4\u00e4ntelev\u00e4 Cyber Resilience Act asettavat organisaatioille velvoitteita haavoittuvuuksien hallintaan ja h\u00e4iri\u00f6ist\u00e4 ilmoittamiseen. Aktiivisesti hy\u00f6dynnetyn nollap\u00e4iv\u00e4n, kuten CVE-2026-21509, k\u00e4sittely ei siis ole vain tekninen vaan my\u00f6s juridinen kysymys eurooppalaisille toimijoille.<\/p>\n\n\n\n

Pohjoismainen n\u00e4k\u00f6kulma: miksi t\u00e4m\u00e4 koskettaa Suomea<\/h2>\n\n\n\n

Suomalaisille ja pohjoismaisille organisaatioille APT28:n Office-kampanja on konkreettinen muistutus. Microsoft Office ja Microsoft 365 ovat hallinnon, terveydenhuollon, koulutuksen ja yritysten perusty\u00f6kaluja koko alueella. Jos haavoittuvuutta voidaan hy\u00f6dynt\u00e4\u00e4 pelk\u00e4ll\u00e4 dokumentin avaamisella ilman makroja, tavanomaiset k\u00e4ytt\u00e4j\u00e4koulutukset eiv\u00e4t yksin riit\u00e4.<\/p>\n\n\n\n

Pohjoismaiden geopoliittinen asema on muuttunut. Suomen ja Ruotsin Nato-j\u00e4senyys, It\u00e4meren kohonnut j\u00e4nnite ja toistuvat raportit kybervakoilusta ja merikaapeleiden vaurioista ovat nostaneet alueen valtiollisten toimijoiden kohdelistalle. APT28:n historia, johon kuuluu Norjan suurk\u00e4r\u00e4jien murto vuonna 2020, osoittaa, ett\u00e4 pohjoismaiset instituutiot ovat olleet ryhm\u00e4n t\u00e4ht\u00e4imess\u00e4 jo aiemmin.<\/p>\n\n\n\n

K\u00e4yt\u00e4nn\u00f6n johtop\u00e4\u00e4t\u00f6s on, ett\u00e4 pohjoismaisten organisaatioiden on seurattava CISA:n KEV-luettelon kaltaisia l\u00e4hteit\u00e4 ja priorisoitava aktiivisesti hy\u00f6dynnettyjen haavoittuvuuksien korjaaminen. Kansalliset toimijat, kuten Suomen Kyberturvallisuuskeskus, jakavat varoituksia, mutta vastuu nopeasta korjaamisesta on jokaisella organisaatiolla itsell\u00e4\u00e4n.<\/p>\n\n\n\n

Historiallinen konteksti: APT28:n j\u00e4lki Euroopassa<\/h2>\n\n\n\n

CVE-2026-21509 asettuu pitk\u00e4\u00e4n jatkumoon. APT28 on ollut yksi n\u00e4kyvimmist\u00e4 valtiollisista toimijoista yli vuosikymmenen ajan, ja sen kampanjat ovat toistuvasti hy\u00f6dynt\u00e4neet juuri s\u00e4hk\u00f6posti- ja dokumenttipohjaisia hy\u00f6kk\u00e4ysreittej\u00e4. Alla oleva aikajana kokoaa ryhm\u00e4n tunnetuimpia operaatioita Euroopassa ja sen l\u00e4hialueilla.<\/p>\n\n\n\n

APT28:n (Fancy Bear) tunnettuja kampanjoita<\/figcaption>\n
Vuosi<\/th>Kohde<\/th>Kuvaus<\/th><\/tr><\/thead>
2015<\/td>Saksan liittop\u00e4iv\u00e4t (Bundestag)<\/td>laaja verkon kompromissi ja tietojen vienti<\/td><\/tr>\n
2016<\/td>Yhdysvaltain demokraattipuolue (DNC)<\/td>vaalivuodon vaikuttamisoperaatio<\/td><\/tr>\n
2018<\/td>OPCW, Haag<\/td>l\u00e4hiverkkohy\u00f6kk\u00e4ysyritys, jonka Alankomaiden tiedustelu paljasti<\/td><\/tr>\n
2020<\/td>Norjan suurk\u00e4r\u00e4j\u00e4t (Storting)<\/td>s\u00e4hk\u00f6postij\u00e4rjestelm\u00e4n murto<\/td><\/tr>\n
2023-2024<\/td>eurooppalaiset poliittiset ja sotilaalliset kohteet<\/td>Outlook-haavoittuvuuden CVE-2023-23397 hy\u00f6dynt\u00e4minen<\/td><\/tr>\n
2026<\/td>Microsoft Office (CVE-2026-21509)<\/td>Operation Neusploit, RTF-pohjainen vakoilu<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Aikajana paljastaa kaavan. APT28 suosii hy\u00f6kk\u00e4ysreittej\u00e4, jotka hy\u00f6dynt\u00e4v\u00e4t jokap\u00e4iv\u00e4isi\u00e4 ty\u00f6kaluja: s\u00e4hk\u00f6postia, Outlookia ja Office-dokumentteja. T\u00e4m\u00e4 tekee ryhm\u00e4st\u00e4 erityisen vaarallisen, koska se ei tarvitse harvinaisia tai eksoottisia kohteita vaan iskee siihen ohjelmistoon, joka on jo asennettu jokaiseen ty\u00f6asemaan.<\/p>\n\n\n\n

Asiantuntijoiden arviot tilanteesta<\/h2>\n\n\n\n

Useat uhatiedustelua tuottavat organisaatiot ovat arvioineet vuoden 2026 alun nollap\u00e4iv\u00e4tilannetta. Arviot piirt\u00e4v\u00e4t yhten\u00e4isen kuvan kiihtyv\u00e4st\u00e4 hyv\u00e4ksik\u00e4yt\u00f6st\u00e4 ja siirtym\u00e4st\u00e4 yritystuotteisiin.<\/p>\n\n\n\n

Googlen uhatiedusteluyksikk\u00f6 GTIG totesi vuoden 2025 katsauksessaan, ett\u00e4 90 villiss\u00e4 luonnossa hyv\u00e4ksik\u00e4ytetty\u00e4 nollap\u00e4iv\u00e4\u00e4 oli korkea luku ja ett\u00e4 l\u00e4hes puolet niist\u00e4 kohdistui yritystuotteisiin. Yksik\u00f6n mukaan suuntaus heijastaa valtiollisten ja kaupallisten vakoilutoimijoiden kasvavaa kiinnostusta korkean arvon kohteisiin.<\/p>Google Threat Intelligence Group, 2025 Zero-Days in Review<\/cite><\/blockquote>\n\n\n\n

Recorded Future korosti tammikuun 2026 haavoittuvuuskatsauksessaan, ett\u00e4 kuukauden 23 aktiivisesti hy\u00f6dynnetty\u00e4 CVE:t\u00e4 merkitsiv\u00e4t valtiollisten nollap\u00e4ivien paluuta. Katsauksen mukaan APT28:n Office-haavoittuvuus oli yksi kuukauden vakavimmista, ja se osoitti, ett\u00e4 dokumenttipohjaiset hy\u00f6kk\u00e4ykset ovat yh\u00e4 tehokkaita.<\/p>\n\n\n\n

CrowdStrikein helmikuun 2026 Patch Tuesday -analyysin mukaan MSHTML-kehyksen suojausominaisuuden ohitus CVE-2026-21513 oli aktiivisesti hy\u00f6dynnetty ja julkisesti paljastettu, mik\u00e4 korostaa tarvetta korjata vanhat komponentit nopeasti.<\/p>CrowdStrike, helmikuun 2026 Patch Tuesday -analyysi<\/cite><\/blockquote>\n\n\n\n

Lis\u00e4ksi GTIG:n toukokuussa 2026 julkaistu raportti varoitti, ett\u00e4 hy\u00f6kk\u00e4\u00e4j\u00e4t hy\u00f6dynt\u00e4v\u00e4t yh\u00e4 enemm\u00e4n teko\u00e4ly\u00e4 haavoittuvuuksien etsimisess\u00e4 ja alkup\u00e4\u00e4syn hankkimisessa. T\u00e4m\u00e4 viittaa siihen, ett\u00e4 nollap\u00e4ivien l\u00f6yt\u00e4minen ja aseistaminen voi nopeutua entisest\u00e4\u00e4n l\u00e4hivuosina, kun automaatio yleistyy hy\u00f6kk\u00e4\u00e4jien ty\u00f6kalupakissa.<\/p>\n\n\n\n

Kilpailutilanne: miten puolustusratkaisut vertautuvat<\/h2>\n\n\n\n

Kun nollap\u00e4iv\u00e4t kohdistuvat yh\u00e4 useammin yritystuotteisiin, puolustusratkaisujen markkina on jakautunut useaan l\u00e4hestymistapaan. P\u00e4\u00e4telaitteiden havainnointi ja reagointi eli EDR pyrkii tunnistamaan poikkeavan k\u00e4ytt\u00e4ytymisen koneella, vaikka itse haavoittuvuutta ei tunnettaisi. T\u00e4m\u00e4 on tehokas tapa havaita Covenant Gruntin kaltaisten implanttien toiminta, mutta se vaatii jatkuvaa seurantaa ja osaavaa henkil\u00f6st\u00f6\u00e4.<\/p>\n\n\n\n

Toinen l\u00e4hestymistapa on haavoittuvuuksien hallinta ja korjausp\u00e4ivitysten automatisointi. T\u00e4m\u00e4 keskittyy nopeuteen: mit\u00e4 lyhyemm\u00e4ksi aika haavoittuvuuden paljastumisesta korjaukseen saadaan, sit\u00e4 pienempi on hy\u00f6kk\u00e4ysikkuna. Kolmas l\u00e4hestymistapa on s\u00e4hk\u00f6postin ja dokumenttien suodatus, joka pyrkii pys\u00e4ytt\u00e4m\u00e4\u00e4n aseistetut RTF-tiedostot ennen kuin ne saapuvat k\u00e4ytt\u00e4j\u00e4lle. Yksik\u00e4\u00e4n n\u00e4ist\u00e4 ei yksin riit\u00e4, vaan tehokas puolustus yhdist\u00e4\u00e4 ne kerroksiksi.<\/p>\n\n\n\n

K\u00e4yt\u00e4nn\u00f6ss\u00e4 organisaatiot vertaavat ratkaisuja kolmen mittarin kautta: kuinka nopeasti ne havaitsevat poikkeaman, kuinka hyvin ne integroituvat olemassa oleviin j\u00e4rjestelmiin ja kuinka paljon ne vaativat henkil\u00f6resursseja. Valtiollisen toimijan, kuten APT28:n, kohdalla painopiste siirtyy ehk\u00e4isyst\u00e4 havaitsemiseen, koska t\u00e4ysin uuden nollap\u00e4iv\u00e4n est\u00e4minen ennakolta on \u00e4\u00e4rimm\u00e4isen vaikeaa.<\/p>\n\n\n\n

Viisi ennustetta loppuvuodelle 2026<\/h2>\n\n\n\n
    \n
  1. Nollap\u00e4ivien hyv\u00e4ksik\u00e4ytt\u00f6 jatkaa kasvuaan.<\/strong> Kun vuoden 2025 luku oli 90 ja kasvua kertyi noin 15 prosenttia, koko vuoden 2026 luku todenn\u00e4k\u00f6isesti ylitt\u00e4\u00e4 sadan rajan, jos alkuvuoden tahti jatkuu.<\/li>\n
  2. Teko\u00e4ly nopeuttaa haavoittuvuuksien l\u00f6yt\u00e4mist\u00e4.<\/strong> GTIG:n toukokuun 2026 varoituksen mukaisesti hy\u00f6kk\u00e4\u00e4j\u00e4t automatisoivat haavoittuvuuksien etsint\u00e4\u00e4, mik\u00e4 lyhent\u00e4\u00e4 puolustajien reagointiaikaa.<\/li>\n
  3. Office ja dokumenttipohjaiset hy\u00f6kk\u00e4ykset pysyv\u00e4t suosittuina.<\/strong> APT28:n pitk\u00e4 historia osoittaa, ett\u00e4 jokap\u00e4iv\u00e4iset ty\u00f6kalut ovat tehokkain reitti uhrin koneelle, eik\u00e4 t\u00e4m\u00e4 muutu nopeasti.<\/li>\n
  4. Yritystuotteet ovat kasvavan kohteen keski\u00f6ss\u00e4.<\/strong> L\u00e4hes puolet vuoden 2025 nollap\u00e4ivist\u00e4 kohdistui yritystuotteisiin, ja siirtym\u00e4 pois kuluttajalaitteista todenn\u00e4k\u00f6isesti syvenee.<\/li>\n
  5. S\u00e4\u00e4ntely kirist\u00e4\u00e4 vaatimuksia.<\/strong> NIS2 ja Cyber Resilience Act lis\u00e4\u00e4v\u00e4t painetta nopeaan haavoittuvuuksien hallintaan, ja aktiivisesti hy\u00f6dynnettyjen vikojen k\u00e4sittelyst\u00e4 tulee yh\u00e4 selvemmin my\u00f6s juridinen velvoite.<\/li>\n<\/ol>\n\n\n\n

    N\u00e4in suojaudut Office-nollap\u00e4iv\u00e4haavoittuvuuksilta<\/h2>\n\n\n\n

    Vaikka nollap\u00e4iv\u00e4\u00e4 ei m\u00e4\u00e4ritelm\u00e4ns\u00e4 mukaan voi torjua etuk\u00e4teisell\u00e4 korjauksella, organisaatiot voivat pienent\u00e4\u00e4 riski\u00e4 merkitt\u00e4v\u00e4sti. T\u00e4rkein toimenpide on nopea korjausp\u00e4ivitysten asentaminen heti kun Microsoft julkaisee korjauksen, sill\u00e4 monet hy\u00f6kk\u00e4ykset jatkuvat pitk\u00e4\u00e4n sen j\u00e4lkeen, kun korjaus on jo saatavilla. CVE-2026-21509:n kaltaiset KEV-luettelon viat tulee priorisoida muiden edelle.<\/p>\n\n\n\n