文章总结： 俄罗斯APT28组织利用Office零日漏洞CVE-2026-21509发起Neusploit行动，攻击中东欧国家。攻击通过恶意RTF文件无需宏即触发，部署MiniDoor窃取邮件或PixyNetLoader建立持久控制。建议立即安装微软紧急补丁，拦截可疑RTF文件，并部署EDR监控异常行为以应对威胁。 综合评分： 88 文章分类： 威胁情报,漏洞预警,应急响应

紧急预警！俄罗斯APT28锁定中东欧，Office零日漏洞成攻击利器，邮件偷取+远程控制防不胜防

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年2月4日 12:05 广东

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

    网络安全圈再爆高危攻击！与俄罗斯关联的老牌APT组织APT28（别名“奇幻熊”Fancy Bear）近期发起“Neusploit行动”，利用微软Office最新零日漏洞（CVE-2026-21509），针对性攻击乌克兰、斯洛伐克、罗马尼亚等中东欧国家，通过武器化RTF文件植入恶意程序，窃取邮件、远程控场，已造成多起设备沦陷。

作为活跃近20年的“国家级黑客组”，APT28此次盯上Office漏洞，瞄准地缘敏感区域，攻击隐蔽性与危害性拉满。今天就拆解这场攻击的完整套路，教你快速规避风险。

一、攻击核心：Office零日漏洞“破门”，多版本Office躺枪

APT28此次的攻击突破口，是微软刚披露的CVE-2026-21509漏洞——这是一个Office安全功能绕过漏洞，影响范围极广：

覆盖Office 2016、2019、LTSC 2021/2024及Microsoft 365企业版，几乎所有常用办公版本都在列；

攻击方式简单直接：黑客发送恶意RTF文件，受害者只要打开文件（预览窗格不受影响），无需启用宏，漏洞就会被触发，恶意代码自动执行；

漏洞本质是绕过Office的OLE安全防护，让黑客可加载恶意COM/OLE控件，相当于给办公软件开了“后门”，传统防护很难拦截。

微软已于2026年1月26日发布紧急补丁，但仍有大量用户未及时更新，给了APT28可乘之机——Zscaler在1月29日就监测到该漏洞已被“野外用”，攻击节奏极快。

二、攻击链拆解：两条路径渗透，偷邮件+持久控制双管齐下

APT28在“Neusploit行动”中设计了两套攻击链，均以恶意RTF文件为起点，最终达成不同攻击目的，覆盖短期窃取与长期潜伏：

路径1：MiniDoor偷邮件，悄无声息转发敏感信息

1. 黑客发送含恶意RTF文件的钓鱼邮件，邮件诱饵用英语、罗马尼亚语、斯洛伐克语等本地化语言编写，贴合目标区域用户习惯，降低警惕；

2. 受害者打开RTF文件，触发CVE-2026-21509漏洞，自动加载MiniDoor恶意程序——这是一个简化版的Outlook VBA项目，专门针对邮件窃取；

3. MiniDoor会悄悄降低Office宏安全等级，后台抓取受害者的邮件内容，自动转发到黑客控制的邮箱，整个过程无弹窗、无提示，受害者完全察觉不到。

路径2：PixyNetLoader+ Covenant Grunt，持久控制不松手

1. 同样以恶意RTF文件触发漏洞为起点，后续加载更复杂的PixyNetLoader加载器；

2. 加载器通过“COM劫持”和“计划任务”两种方式建立持久化——就算受害者重启电脑，恶意程序也能自动启动；

3. 释放伪造的“EhStorShell.dll”文件，利用隐写术从PNG图片中提取隐藏的shellcode，绕开沙箱检测；

4. 最终在内存中运行.NET Covenant Grunt植入物，通过滥用合法API与黑客C2服务器通信，实现远程命令执行、设备操控等功能，完成长期潜伏。

三、APT28来头不小：国家级黑客组，劣迹斑斑

能快速利用零日漏洞发起定向攻击，APT28的背景绝非普通黑客组织：

归属俄罗斯GRU（军事情报总局）85th GTsSS特种部队，2007年起活跃至今，是全球最知名的APT组织之一；

历史“战绩”惊人：曾参与2016年美国大选攻击、入侵乌克兰政府网络、窃取多国军事机密，攻击目标始终围绕俄罗斯的地缘政治利益；

作战特点鲜明：擅长利用热门软件漏洞、本地化钓鱼诱饵、模块化攻击工具，且基础设施复用性强——此次攻击就重用了此前用过的Filen API C2服务器，进一步坐实归属。

四、紧急防护指南：3步阻断攻击，现在就做

面对APT28的精准攻击，个人和企业需立即行动，重点做好“补丁+拦截+监测”三件事：

1. 优先更新Office补丁：立即检查并安装微软针对CVE-2026-21509的紧急更新（可通过Office自动更新或微软官网下载），关闭不必要的OLE控件加载功能；

2. 警惕陌生RTF文件：来自中东欧地区的陌生邮件、不明来源的RTF附件，一律不打开、不下载；企业可通过邮件网关拦截RTF格式恶意文件；

3. 强化终端监测：部署EDR工具，重点监控“COM劫持”“计划任务异常创建”“PNG文件隐写提取”等行为；一旦发现MiniDoor、PixyNetLoader相关进程，立即隔离设备并清理恶意组件。

对企业而言，还需排查是否有员工近期打开过可疑RTF文件，尤其是涉及乌克兰、斯洛伐克、罗马尼亚等地区业务的部门，及时开展应急响应。

APT28的行动再次证明，办公软件漏洞已成为APT组织的“常规武器”。及时更新补丁、警惕陌生文件，看似基础的操作，却是抵御高级攻击的关键防线。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《紧急预警！俄罗斯APT28锁定中东欧，Office零日漏洞成攻击利器，邮件偷取+远程控制防不胜防》