{"id":88,"date":"2026-06-12T20:30:38","date_gmt":"2026-06-12T20:30:38","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/12\/operation-neusploit-apt28-cve-2026-21509\/"},"modified":"2026-06-12T20:31:51","modified_gmt":"2026-06-12T20:31:51","slug":"operation-neusploit-apt28-cve-2026-21509","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/12\/operation-neusploit-apt28-cve-2026-21509\/","title":{"rendered":"Operation Neusploit: APT28 Buca Office in 3 Giorni [2026]"},"content":{"rendered":"\n

Tre giorni. Tanto \u00e8 bastato ad APT28<\/strong>, il gruppo di cyberspionaggio legato all’intelligence militare russa, per trasformare una patch di Microsoft Office in un’arma. Il 26 gennaio 2026 Microsoft ha rilasciato un aggiornamento fuori ciclo per CVE-2026-21509<\/strong>. Il 29 gennaio i ricercatori di Zscaler ThreatLabz osservavano gi\u00e0 lo sfruttamento attivo della falla in una campagna battezzata Operation Neusploit<\/strong>, diretta contro governi e infrastrutture critiche dell’Europa centro-orientale. Per l’Italia, che a febbraio 2026 ospitava i Giochi olimpici invernali di Milano Cortina, il caso non \u00e8 un fatto lontano: \u00e8 la conferma che lo stesso attore statale considerato la minaccia numero uno per le Olimpiadi sa muoversi pi\u00f9 in fretta dei team di patching.<\/p>\n\n\n\n

Questa analisi ricostruisce con dati verificati cosa \u00e8 successo, come funziona la catena di attacco, perch\u00e9 riguarda da vicino l’Italia e l’Europa, e cosa possono fare aziende e amministrazioni nelle prossime settimane.<\/p>\n\n\n\n

Cos’\u00e8 Operation Neusploit e perch\u00e9 conta<\/h2>\n\n\n\n

Operation Neusploit \u00e8 una campagna di cyberspionaggio individuata a gennaio 2026 da Zscaler ThreatLabz e attribuita con alta confidenza ad APT28, gruppo noto anche come Fancy Bear, Sednit, Sofacy, BlueDelta e STRONTIUM. Il nome riassume la logica dell’operazione: sfruttare in modo nuovo un meccanismo di bypass delle protezioni di Office per consegnare backdoor a bersagli selezionati con cura.<\/p>\n\n\n\n

La campagna non rientra nella categoria del ransomware opportunistico che colpisce a tappeto. Qui l’obiettivo \u00e8 il furto silenzioso di credenziali e corrispondenza diplomatica e governativa. La velocit\u00e0 di adozione dello zero-day, appena tre giorni dopo la divulgazione della patch, segnala un livello di maturit\u00e0 operativa che pochi gruppi al mondo possono permettersi. Chi sviluppa un exploit funzionante in 72 ore dispone di risorse di ricerca interne e di una pipeline pronta a passare dalla scoperta all’uso sul campo.<\/p>\n\n\n\n

Per il pubblico italiano la rilevanza \u00e8 doppia. APT28 \u00e8 lo stesso gruppo che le autorit\u00e0 europee indicano come minaccia ricorrente contro i ministeri e che figura in cima alle valutazioni di rischio per Milano Cortina 2026. Capire come opera Neusploit significa capire la grammatica di una minaccia che l’Italia ha affrontato in casa propria pochi giorni dopo la scoperta della campagna.<\/p>\n\n\n\n

La vulnerabilit\u00e0 CVE-2026-21509 spiegata<\/h2>\n\n\n\n

CVE-2026-21509 \u00e8 classificata da Microsoft come Security Feature Bypass<\/em> di Microsoft Office. Il punteggio CVSS v3.1 \u00e8 7.8 su 10, con score temporale 7.2, una severit\u00e0 alta. La radice del problema \u00e8 che Office si affida a input non attendibili durante decisioni critiche per la sicurezza, e questo consente a un attaccante di aggirare localmente le mitigazioni OLE (Object Linking and Embedding), la tecnologia che incorpora oggetti esterni nei documenti.<\/p>\n\n\n\n

Quali versioni di Office sono colpite<\/h3>\n\n\n\n

La falla riguarda l’intera linea desktop ancora supportata. Chi usa una di queste versioni senza l’aggiornamento del 26 gennaio 2026 resta esposto.<\/p>\n\n\n\n

Prodotto<\/th>Stato<\/th>Note<\/th><\/tr><\/thead>
Microsoft Office 2016<\/td>Vulnerabile<\/td>Patch disponibile dal 26\/01\/2026<\/td><\/tr>
Microsoft Office 2019<\/td>Vulnerabile<\/td>Patch disponibile dal 26\/01\/2026<\/td><\/tr>
Microsoft Office LTSC 2021<\/td>Vulnerabile<\/td>Aggiornamento fuori ciclo<\/td><\/tr>
Microsoft Office LTSC 2024<\/td>Vulnerabile<\/td>Aggiornamento fuori ciclo<\/td><\/tr>
Microsoft 365 Apps for Enterprise<\/td>Vulnerabile<\/td>Aggiornamento via canale gestito<\/td><\/tr><\/tbody><\/table>
Versioni di Microsoft Office interessate da CVE-2026-21509. Fonte: Microsoft Security Response Center.<\/figcaption><\/figure>\n\n\n\n

Perch\u00e9 il bypass OLE \u00e8 pericoloso<\/h3>\n\n\n\n

Le mitigazioni OLE nascono proprio per impedire che un documento apparentemente innocuo esegua codice esterno. Aggirarle vuol dire riportare Office a un comportamento che gli sviluppatori avevano deliberatamente bloccato. La condizione necessaria resta l’interazione umana: l’attaccante deve convincere la vittima ad aprire un file Office malevolo. \u00c8 un dettaglio che sposta la difesa dal solo patching alla consapevolezza degli utenti, perch\u00e9 un singolo allegato aperto basta ad avviare l’intera catena. Per chi vuole approfondire il funzionamento delle esche via posta, resta utile la nostra guida su come riconoscere il phishing e l’ingegneria sociale<\/a>.<\/p>\n\n\n\n

Cronologia: dalla patch all’exploit in tre giorni<\/h2>\n\n\n\n

La sequenza temporale \u00e8 il dato pi\u00f9 allarmante dell’intera vicenda. Mostra una finestra di esposizione minima tra la pubblicazione del fix e il suo sfruttamento operativo.<\/p>\n\n\n\n

Data<\/th>Evento<\/th><\/tr><\/thead>
26 gennaio 2026<\/td>Microsoft rilascia la patch fuori ciclo per CVE-2026-21509<\/td><\/tr>
29 gennaio 2026<\/td>Zscaler ThreatLabz osserva lo sfruttamento attivo in Operation Neusploit<\/td><\/tr>
Fine gennaio 2026<\/td>Esche RTF distribuite in Ucraina, Slovacchia e Romania<\/td><\/tr>
3 febbraio 2026<\/td>Pubblicazione delle prime analisi tecniche dettagliate della campagna<\/td><\/tr>
6-22 febbraio 2026<\/td>Giochi olimpici invernali di Milano Cortina, con l’Italia che respinge attacchi di origine russa<\/td><\/tr><\/tbody><\/table>
Cronologia di Operation Neusploit e del contesto europeo. Fonti: Microsoft, Zscaler ThreatLabz, Recorded Future.<\/figcaption><\/figure>\n\n\n\n

Tre giorni di scarto tra patch ed exploit collocano Neusploit tra le campagne a reazione pi\u00f9 rapida osservate in Europa nel 2026. Per confronto, molti attacchi sfruttano vulnerabilit\u00e0 note da settimane o mesi, contando sul ritardo di aggiornamento delle vittime. Qui APT28 ha fatto l’opposto: ha colpito mentre la maggior parte delle organizzazioni non aveva ancora distribuito il fix.<\/p>\n\n\n\n

Chi \u00e8 APT28 (Fancy Bear): il profilo del gruppo GRU<\/h2>\n\n\n\n

APT28 opera, secondo le attribuzioni occidentali raccolte nel database MITRE ATT&CK, dall’unit\u00e0 26165 del GRU, l’intelligence militare russa, all’interno dell’85\u00b0 Centro Speciale del Servizio Principale. Il gruppo \u00e8 attivo almeno dal 2007 e colleziona una lunga lista di alias: Fancy Bear, Sednit, Sofacy, Pawn Storm, BlueDelta, STRONTIUM e, nelle classificazioni ucraine, UAC-0001.<\/p>\n\n\n\n

Il curriculum operativo include alcuni degli attacchi pi\u00f9 noti dell’ultimo decennio: la violazione dell’Agenzia mondiale antidoping (WADA) nel 2016 e le interferenze legate ai grandi eventi sportivi internazionali. Questa continuit\u00e0 non \u00e8 un dettaglio storico. Spiega perch\u00e9, quando si parla di Olimpiadi e di ministeri europei, gli analisti citano APT28 come prima ipotesi. Neusploit \u00e8 l’ennesimo capitolo di una strategia coerente: spionaggio mirato, esche credibili, malware modulare.<\/p>\n\n\n\n

La sofisticazione tecnica del gruppo si misura anche dalla disciplina operativa. Neusploit usa evasione lato server: il file DLL malevolo veniva consegnato solo a vittime situate nelle regioni bersaglio e con l’intestazione User-Agent corretta. Chi analizzava la catena da una rete non prevista riceveva contenuti innocui, una tecnica pensata per ostacolare ricercatori e sistemi di analisi automatica.<\/p>\n\n\n\n

La catena di infezione: RTF, MiniDoor e Covenant Grunt<\/h2>\n\n\n\n

L’attacco parte da file RTF di Microsoft Office costruiti ad arte, con esche di ingegneria sociale localizzate in inglese, rumeno, slovacco e ucraino. L’apertura del documento innesca lo sfruttamento di CVE-2026-21509 e avvia una catena multi-stadio che termina con l’installazione di impianti di comando e controllo. Zscaler ThreatLabz ha mappato un arsenale di almeno quattro componenti distinti.<\/p>\n\n\n\n

Componente<\/th>Tipo<\/th>Funzione<\/th><\/tr><\/thead>
MiniDoor<\/td>Stealer<\/td>Progetto VBA di Outlook che sottrae le email della vittima<\/td><\/tr>
PixyNetLoader<\/td>Dropper multi-stadio<\/td>Persistenza tramite COM hijacking e attivit\u00e0 pianificate<\/td><\/tr>
Covenant Grunt<\/td>Impianto C2<\/td>Implant .NET che usa l’API di Filen come canale di comando<\/td><\/tr>
EhStoreShell.dll<\/td>Loader shellcode<\/td>Carica codice nascosto con steganografia in immagini PNG<\/td><\/tr><\/tbody><\/table>
Famiglie di malware identificate in Operation Neusploit. Fonte: Zscaler ThreatLabz.<\/figcaption><\/figure>\n\n\n\n

La scelta di abusare di Filen, un servizio cloud cifrato legittimo, come ponte per il comando e controllo merita attenzione. Nascondere il traffico C2 dentro un servizio noto rende l’individuazione pi\u00f9 difficile, perch\u00e9 le connessioni verso un cloud popolare non destano sospetti immediati nei sistemi di rete. \u00c8 la stessa logica della steganografia PNG impiegata da EhStoreShell.dll: mimetizzare il codice malevolo dentro formati ordinari. Per capire perch\u00e9 la cifratura ben implementata sia un’arma a doppio taglio, pu\u00f2 essere utile rivedere i fondamentali di HTTPS e TLS<\/a>.<\/p>\n\n\n\n

Come Zscaler ThreatLabz ha attribuito la campagna<\/h2>\n\n\n\n

L’attribuzione ad APT28 non poggia su un solo indizio. Secondo l’analisi dei ricercatori Sudeep Singh e Roy Tay di Zscaler ThreatLabz, la valutazione ad alta confidenza nasce dall’incrocio di tre elementi: la sovrapposizione di strumenti con il malware NotDoor gi\u00e0 collegato al gruppo, i modelli di vittimologia coerenti con gli interessi strategici russi, e l’abuso dell’API di Filen con modalit\u00e0 identiche a quelle viste in Operation Phantom Net Voxel del settembre 2025.<\/p>\n\n\n\n

Questo metodo, che combina indicatori tecnici e contesto geopolitico, \u00e8 lo standard del settore. Una sola somiglianza di codice pu\u00f2 essere casuale o frutto di un riutilizzo pubblico. La convergenza di strumenti, bersagli e infrastruttura riduce drasticamente le alternative plausibili. Le analisi indipendenti di Picus Security e Security Affairs hanno confermato la ricostruzione tecnica della catena di attacco e il legame con il gruppo russo, dando alla valutazione la solidit\u00e0 di pi\u00f9 fonti convergenti.<\/p>\n\n\n\n

Il fronte italiano: Milano Cortina 2026 nel mirino<\/h2>\n\n\n\n

Mentre Neusploit colpiva Ucraina, Slovacchia e Romania, l’Italia affrontava la sua versione del problema. Pochi giorni prima dell’apertura dei Giochi invernali di Milano Cortina 2026, il governo italiano ha respinto una serie di attacchi informatici di origine russa diretti contro infrastrutture governative e olimpiche. Secondo la ricostruzione di Recorded Future, gli attacchi hanno toccato circa 120 bersagli.<\/p>\n\n\n\n

I target andavano ben oltre i confini nazionali: uffici e consolati del ministero degli Esteri a Washington, Sydney, Toronto e Parigi, oltre a strutture connesse ai Giochi, inclusi gli hotel della localit\u00e0 alpina di Cortina d’Ampezzo che ospitavano gli atleti. Il ministro degli Esteri Antonio Tajani ha pubblicamente collegato gli attacchi a una matrice russa. Il gruppo hacktivista filorusso NoName057(16) ha rivendicato una campagna di attacchi DDoS, presentandoli come ritorsione per il sostegno italiano all’Ucraina.<\/p>\n\n\n\n

Le valutazioni di rischio per i Giochi, riprese anche dal World Economic Forum, indicavano tre attori statali come le minacce pi\u00f9 capaci: la russa APT28, la cinese Mustang Panda e la nordcoreana Kimsuky. La presenza di APT28 in cima a entrambe le liste, quella di Neusploit e quella olimpica, non \u00e8 una coincidenza. \u00c8 la prova che lo stesso avversario opera su pi\u00f9 fronti europei contemporaneamente.<\/p>\n\n\n\n

ACN e la risposta italiana alla minaccia<\/h2>\n\n\n\n

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha allestito un centro di comando dedicato per individuare e rispondere alle minacce associate ai Giochi di Milano Cortina. La struttura aveva il compito di monitorare e analizzare le minacce, scambiare informazioni critiche e supportare la gestione delle crisi in tempo reale durante l’evento.<\/p>\n\n\n\n

Il modello adottato dall’Italia riflette una lezione ormai consolidata: per un grande evento, la difesa non pu\u00f2 essere reattiva. Serve un presidio centralizzato che correli i segnali provenienti da reti diverse e attivi le contromisure prima che l’attacco produca danni. Il fatto che gli attacchi siano stati respinti suggerisce che il presidio abbia funzionato, ma la rapidit\u00e0 di APT28 con Neusploit ricorda che il margine resta sottile. Il quadro nazionale degli incidenti, con i suoi numeri in crescita, \u00e8 descritto nel nostro approfondimento sul ransomware in Italia secondo il rapporto Clusit 2026<\/a>, mentre gli obblighi normativi che ne derivano sono al centro della direttiva NIS2 in Italia<\/a>.<\/p>\n\n\n\n

Impatto sul mercato e sulle aziende europee<\/h2>\n\n\n\n

L’effetto immediato di Neusploit si misura sul lavoro dei team di sicurezza. Una vulnerabilit\u00e0 Office sfruttata tre giorni dopo la patch costringe a comprimere i tempi di distribuzione degli aggiornamenti, che in molte organizzazioni seguono cicli di test di settimane. Per le aziende europee con flotte di centinaia o migliaia di postazioni, accelerare il patching su Microsoft Office significa rivedere le procedure interne e accettare un rischio operativo maggiore pur di chiudere la finestra di esposizione.<\/p>\n\n\n\n

C’\u00e8 poi un effetto reputazionale e normativo. Le amministrazioni colpite o anche solo sfiorate da una campagna di questo tipo ricadono sotto gli obblighi di notifica degli incidenti previsti dalla direttiva NIS2, ormai pienamente operativa in Italia e nell’Unione. Un attacco riuscito pu\u00f2 tradursi in segnalazioni obbligatorie, audit e, nei casi gravi, sanzioni. La pressione economica indiretta, fatta di ore di lavoro straordinario, consulenze forensi e revisione delle difese, supera spesso il danno diretto del furto dei dati.<\/p>\n\n\n\n

Sul fronte degli strumenti, Neusploit rafforza una tendenza gi\u00e0 visibile nel mercato della sicurezza: la domanda di soluzioni che riducano la dipendenza dall’interazione umana, dall’isolamento dei documenti non attendibili al rilevamento comportamentale degli impianti C2. Le mitigazioni statiche, da sole, non reggono il passo di un avversario che adotta uno zero-day in 72 ore.<\/p>\n\n\n\n

Contesto storico: APT28 dalle Olimpiadi 2016 a oggi<\/h2>\n\n\n\n

Per inquadrare Neusploit serve memoria storica. La violazione della WADA nel 2016, attribuita a Fancy Bear, divulg\u00f2 dati medici di atleti olimpici in un’operazione che mescolava spionaggio e guerra dell’informazione. Negli anni successivi, gruppi russi sono stati collegati a interferenze contro l’organizzazione di grandi eventi sportivi. Il filo conduttore \u00e8 costante: gli eventi internazionali ad alta visibilit\u00e0 sono bersagli ideali perch\u00e9 uniscono valore politico, attenzione mediatica e una superficie d’attacco enorme fatta di sponsor, hotel, federazioni e organi di governo.<\/p>\n\n\n\n

Neusploit aggiorna questa tradizione con strumenti del 2026: uno zero-day Office adottato in tempi record, malware modulare e abuso di servizi cloud cifrati per il comando e controllo. Cambia la tecnologia, non la strategia. Il salto di qualit\u00e0 \u00e8 la velocit\u00e0. Dove un tempo passavano mesi tra la disponibilit\u00e0 di un exploit e il suo impiego mirato, oggi ne bastano tre giorni.<\/p>\n\n\n\n

Confronto con altri zero-day e attacchi del 2026<\/h2>\n\n\n\n

Neusploit non \u00e8 un caso isolato. Il 2026 ha gi\u00e0 visto diverse falle critiche sfruttate contro l’Europa. Il confronto aiuta a collocarne la gravit\u00e0 relativa.<\/p>\n\n\n\n

Caso<\/th>Vulnerabilit\u00e0<\/th>Software<\/th>Attore<\/th>Caratteristica chiave<\/th><\/tr><\/thead>
Operation Neusploit<\/td>CVE-2026-21509 (CVSS 7.8)<\/td>Microsoft Office<\/td>APT28 (Russia)<\/td>Exploit a tre giorni dalla patch<\/td><\/tr>
Attacco Ivanti EPMM<\/td>CVE-2026-1281 e CVE-2026-1340<\/td>Ivanti Endpoint Manager Mobile<\/td>Sfruttamento in the wild<\/td>RCE pre-autenticazione<\/td><\/tr>
DDoS olimpici<\/td>Saturazione di rete<\/td>Servizi web<\/td>NoName057(16)<\/td>Ritorsione politica, circa 120 bersagli<\/td><\/tr><\/tbody><\/table>
Confronto tra minacce europee del 2026. Fonti: Zscaler, Microsoft, Tenable, Recorded Future.<\/figcaption><\/figure>\n\n\n\n

Il confronto evidenzia due profili distinti di rischio. Da un lato gli attacchi opportunistici e rumorosi come i DDoS rivendicati da NoName057(16), pensati per fare clamore. Dall’altro lo spionaggio silenzioso di Neusploit, dove il successo si misura nell’assenza di rumore e nella permanenza nascosta dentro le reti bersaglio. Le falle Ivanti, con punteggi di gravit\u00e0 ancora pi\u00f9 alti, ricordano che la superficie d’attacco non si limita a Office. Abbiamo analizzato quel filone nel pezzo sull’attacco Ivanti del 2026<\/a>.<\/p>\n\n\n\n

Cosa dicono gli analisti<\/h2>\n\n\n\n

La lettura prevalente tra i ricercatori \u00e8 che la velocit\u00e0 di adozione dello zero-day sia il segnale pi\u00f9 importante. Sudeep Singh e Roy Tay di Zscaler ThreatLabz, che hanno individuato la campagna, sottolineano come la combinazione di evasione lato server, malware modulare e abuso di servizi cloud legittimi indichi un attore con risorse e disciplina operativa di livello statale.<\/p>\n\n\n\n

Microsoft, attraverso il proprio Security Response Center, classifica CVE-2026-21509 come bypass delle funzioni di sicurezza e ribadisce che lo sfruttamento richiede l’interazione della vittima, un punto che riporta la difesa sul terreno della formazione degli utenti oltre che del patching. Gli analisti di Picus Security, nel descrivere lo sfruttamento attivo, mettono in guardia sul fatto che esistono gi\u00e0 proof of concept pubblici della falla, un fattore che storicamente accelera l’adozione da parte di attori meno sofisticati nelle settimane successive.<\/p>\n\n\n\n

Sul versante italiano, le autorit\u00e0 hanno scelto la via dell’attribuzione pubblica. Collegare gli attacchi olimpici a una matrice russa, come ha fatto il ministro Tajani, risponde a una logica di deterrenza: rendere esplicito il costo politico delle operazioni informatiche, anche quando non porta a conseguenze legali immediate.<\/p>\n\n\n\n

Cinque previsioni per il resto del 2026<\/h2>\n\n\n\n