Beobachtungen
IT-Sicherheitsdienstleister haben eine großangelegte Cyber-Spionage-Kampagne identifiziert, die eine kritische Zero-Day-Schwachstelle in der Verarbeitung von Microsoft RTF-Dateien aktiv ausnutzt. Die Kampagne wurde erstmals am 29. Januar 2026 nachgewiesen und zielt primär auf Organisationen im Regierungs- und Militärsektor in der Ukraine, der Slowakei und Rumänien ab.
Methoden
Die Angreifer nutzen die Schwachstelle CVE-2026-21509 aus, um bei Ausführung der RTF-Datei maliziösen Programmcode auf den Zielsystem auszuführen. Zur Umgehung von Sicherheitsmaßnahmen prüft die Schadsoftware vor der finalen Infektion spezifische User-Agent-Strings und den geografischen Standort des Zielsystems. Zur dauerhaften Verankerung im System nutzt der Angreifer COM-Hijacking.
Attribution
Der IT-Sicherheitsdienstleister PolySwarm ordnet die Kampagne mit hoher Wahrscheinlichkeit der russischen APT-Gruppierung Fancy Bear (auch bekannt als APT28) zu. Fancy Bear gilt als staatlich gesteuerter Akteur, der dem russischen Nachrichtendienst GRU nahesteht und für komplexe Cyber-Spionage-Kampagnen weltweit bekannt ist.
Empfehlungen
Microsoft hat am 26. Januar 2026 diesbezüglich ein Sicherheitsupdate veröffentlicht. Wir raten zur umgehenden Installation des Sicherheitsupdates für CVE-2026-21509 auf allen betroffenen Systemen. Darüber hinaus hat der IT-Sicherheitsdienstleister PolySwarm mehrere Indicators of Compromise (IOCs) veröffentlicht.