Akamai ha relacionado a APT28 con la explotación en ataques reales de CVE-2026-21513, un 0-day de MSHTML corregido por Microsoft en el Patch Tuesday de febrero de 2026. El fallo permitiría saltarse protecciones como Mark-of-the-Web (MotW) y IE Enhanced Security Configuration (IE ESC) mediante contenido HTML y accesos directos LNK, facilitando cadenas que pueden acabar en ejecución de código.
Una nueva investigación sitúa a APT28 (grupo vinculado a Rusia) detrás de una campaña que habría aprovechado CVE-2026-21513, una vulnerabilidad de alta gravedad en Windows relacionada con MSHTML, el motor utilizado por componentes del sistema para renderizar contenido web. Microsoft corrigió el fallo en el Patch Tuesday de febrero de 2026 e indicó que ya estaba siendo explotado como zero-day antes de que existiera parche público, un matiz especialmente relevante porque implica que los atacantes disponían de un método funcional contra sistemas sin actualizar.
Según el análisis citado, el problema encaja en la categoría de security feature bypass: no se trata necesariamente de una ejecución de código directa en un único paso, sino de un fallo que permite degradar el contexto de seguridad y anular barreras diseñadas para proteger al usuario cuando abre contenido procedente de Internet. En concreto, se describe una validación insuficiente en la lógica de navegación de hipervínculos dentro de ieframe.dll, un componente asociado al marco de MSHTML/Internet Explorer. Esa validación defectuosa puede permitir que una URL o destino se trate como más fiable de lo que realmente es, rompiendo límites de confianza.
El vector de entrada observado se apoya en técnicas de phishing y distribución de archivos: la víctima puede recibir un archivo HTML o, de forma especialmente llamativa, un acceso directo Windows Shortcut (LNK) por correo o mediante un enlace de descarga. En el escenario descrito, el LNK puede ir ‘cargado’ con contenido adicional, incorporando un HTML después de la estructura estándar del acceso directo. A partir de ahí, el contenido utiliza iframes anidados y varios contextos DOM para manipular cómo se interpreta el origen y el nivel de confianza, buscando que el sistema trate la interacción como si no fuese un archivo descargado de Internet.
El impacto práctico señalado incluye el bypass de Mark-of-the-Web (MotW) –la marca que Windows usa para aplicar restricciones extra a ficheros procedentes de zonas no confiables– y también de IE Enhanced Security Configuration (IE ESC), lo que puede abrir la puerta a que pasos posteriores de la cadena resulten más efectivos. El informe también menciona que, una vez rebajadas esas defensas, el flujo puede acabar desencadenando acciones a través de APIs del sistema como ShellExecuteExW, facilitando la apertura/ejecución de recursos adicionales fuera del contexto esperado y ayudando a construir una cadena con potencial de code execution, dependiendo del resto de componentes y payloads utilizados.
La atribución a APT28 se apoya, según se indica, en artefactos e infraestructura observados durante la investigación, incluyendo una muestra subida a VirusTotal a finales de enero de 2026 y comunicaciones con el dominio wellnesscaremed[.]com, que el análisis vincula a este actor. Un punto adicional importante es que el camino vulnerable podría ser alcanzable desde cualquier componente que incruste MSHTML, por lo que el riesgo no quedaría limitado únicamente al caso de uso de LNK.
En términos defensivos, el mensaje prioritario es operativo: validar que los parches de Microsoft de febrero de 2026 están efectivamente desplegados (y no solo aprobados), y revisar controles en pasarelas de correo y navegación para frenar adjuntos LNK y HTML sospechosos. También conviene reforzar la vigilancia sobre comportamientos asociados a MSHTML y a procesos que lancen acciones inusuales mediante ShellExecuteExW, además de revisar cómo se está aplicando y preservando MotW en la organización, ya que este tipo de bypass suele aprovechar configuraciones permisivas, excepciones heredadas o flujos de descarga que ‘pierden’ la marca de procedencia.
Más información
- The Hacker News: None
Deja una respuesta