Una falla de seguridad recientemente revelada y reparada por Microsoft puede haber sido explotada por el actor de amenazas patrocinado por el estado vinculado a Rusia conocido como APT28, según nuevos hallazgos de Akamai.
La vulnerabilidad en cuestión es CVE-2026-21513 (Puntuación CVSS: 8,8), una función de seguridad de alta gravedad que afecta al marco MSHTML.
«La falla del mecanismo de protección en MSHTML Framework permite a un atacante no autorizado eludir una característica de seguridad en una red», Microsoft anotado en su aviso sobre la falla. Fue solucionado por el fabricante de Windows como parte de su actualización del martes de parches de febrero de 2026.
Sin embargo, el gigante tecnológico también señaló que la vulnerabilidad había sido explotada como un día cero en ataques del mundo real, y le dio crédito al Microsoft Threat Intelligence Center (MSTIC), al Microsoft Security Response Center (MSRC) y al equipo de seguridad del grupo de productos de Office, junto con el Google Threat Intelligence Group (GTIG), por informarlo.
En un escenario de ataque hipotético, un actor de amenazas podría convertir la vulnerabilidad en un arma persuadiendo a la víctima para que abra un archivo HTML o un archivo de acceso directo (LNK) malicioso entregado a través de un enlace o como un archivo adjunto de correo electrónico.
Una vez que se abre el archivo elaborado, manipula el navegador y el manejo del Shell de Windows, lo que hace que el sistema operativo ejecute el contenido, señaló Microsoft. Esto, a su vez, permite al atacante eludir las funciones de seguridad y potencialmente lograr la ejecución del código.
Si bien la compañía no ha compartido oficialmente ningún detalle sobre el esfuerzo de explotación de día cero, Akamai dijo que identificó un artefacto malicioso que se subió a VirusTotal el 30 de enero de 2026 y está asociado con la infraestructura vinculada a APT28.
Vale la pena señalar que la muestra fue señalada por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) a principios del mes pasado en relación con los ataques de APT28 que explotaban otra falla de seguridad en Microsoft Office (CVE-2026-21509, puntuación CVSS: 7,8).
La compañía de infraestructura web dijo que CVE-2026-21513 tiene su origen en la lógica dentro de «ieframe.dll» que maneja la navegación de hipervínculos, y que es el resultado de una validación insuficiente de la URL de destino, lo que permite que la entrada controlada por el atacante alcance rutas de código que invocan ShellExecuteExW. Esto, a su vez, permite la ejecución de recursos locales o remotos fuera del contexto de seguridad previsto del navegador.
«Esta carga útil implica un acceso directo de Windows (LNK) especialmente diseñado que incrusta un archivo HTML inmediatamente después de la estructura LNK estándar», dijo el investigador de seguridad Maor Dahan. «El archivo LNK inicia comunicación con el dominio wellnesscaremed[.]com, que se atribuye a APT28 y se ha utilizado ampliamente para las cargas útiles de varias etapas de la campaña. El exploit aprovecha los iframes anidados y múltiples contextos DOM para manipular los límites de confianza».
Akamai señaló que la técnica hace posible que un atacante eluda la Marca de la Web (MotW) y Configuración de seguridad mejorada de Internet Explorer (Es decir, ESC), lo que lleva a una degradación del contexto de seguridad y, en última instancia, facilita la ejecución de código malicioso fuera del entorno limitado del navegador a través de ShellExecuteExW.
«Si bien la campaña observada aprovecha archivos LNK maliciosos, la ruta del código vulnerable puede activarse a través de cualquier componente que incorpore MSHTML», añadió la compañía. «Por lo tanto, se deben esperar mecanismos de entrega adicionales más allá del phishing basado en LNK».
