AO VIVO
01 APT28 explora 0-day MSHTML CVE-2026-21513 via arquivos LNK para burlar sandbox /// 02 Google confirma 0-day Android CVE-2026-21385 explorado ativamente no Brasil /// 03 Shadow Campaigns: APT28 opera infraestrutura paralela de C2 indetectável por 14 meses /// 04 Ransomware e hacktivismo disparam 2x na América Latina em 2025 /// 05 Malware com IA compromete 600+ firewalls FortiGate sem interação humana /// 06 GitLab SSRF CVE-2021-39935 volta a ser explorado em ambientes sem patch /// 07 LatAm Turning Point: PIX e Open Finance aceleram ataques financeiros digitais /// 08 América Latina registra 2x mais ataques cibernéticos em fevereiro de 2026 /// 09 Android Patch de Março corrige 100+ falhas incluindo 2 RCE críticas /// 10 APT28 usa CVE-2026-21509 para pivotamento cloud-to-on-premises /// 01 APT28 explora 0-day MSHTML CVE-2026-21513 via arquivos LNK para burlar sandbox /// 02 Google confirma 0-day Android CVE-2026-21385 explorado ativamente no Brasil /// 03 Shadow Campaigns: APT28 opera infraestrutura paralela de C2 indetectável por 14 meses /// 04 Ransomware e hacktivismo disparam 2x na América Latina em 2025 /// 05 Malware com IA compromete 600+ firewalls FortiGate sem interação humana /// 06 GitLab SSRF CVE-2021-39935 volta a ser explorado em ambientes sem patch /// 07 LatAm Turning Point: PIX e Open Finance aceleram ataques financeiros digitais /// 08 América Latina registra 2x mais ataques cibernéticos em fevereiro de 2026 /// 09 Android Patch de Março corrige 100+ falhas incluindo 2 RCE críticas /// 10 APT28 usa CVE-2026-21509 para pivotamento cloud-to-on-premises ///
APT & Espionagem

APT28 Explora 0-day MSHTML (CVE-2026-21513) via Arquivos LNK para Burlar Sandbox do Windows

EQUIPE CYBERBOX THREAT INTEL · 01 de março de 2026 · 6 min de leitura

O grupo APT28 (Fancy Bear), atribuído ao serviço de inteligência militar russo GRU, foi observado explorando uma vulnerabilidade zero-day no componente MSHTML do Windows — identificada como CVE-2026-21513 (CVSS 9.1) — utilizando arquivos .lnk especialmente criados como vetor de entrega inicial.

A falha permite execução de código arbitrário sem qualquer interação do usuário além de abrir a pasta que contém o arquivo malicioso — um mecanismo de "zero-click" que contorna as proteções da sandbox do Windows (Windows Protected Mode e Mark-of-the-Web).

Cadeia de Ataque

A campanha começa com e-mails de spear phishing altamente personalizados, direcionados a funcionários de governo e defesa no Leste Europeu e América do Sul. Os anexos são arquivos .zip com um documento isca PDF e um arquivo .lnk oculto.

  • Stage 1 — O arquivo .lnk executa via MSHTML uma DLL de dropper ofuscada em memória
  • Stage 2 — A DLL injeta shellcode no processo explorer.exe usando Process Hollowing
  • Stage 3 — Implante Headlace configurado com C2 rotativo via CDN legítimo
  • Persistência — Entrada de Run Key + COM Object Hijacking para sobreviver a reinicializações
"A técnica de abusar do MSHTML via arquivos LNK não é nova, mas a variante CVE-2026-21513 apresenta um bypass de sandbox completamente novo que não havia sido documentado publicamente."

— Equipe CYBERBOX Threat Intel

Implante Headlace: Novo Backdoor do APT28

O implante Headlace, identificado pela primeira vez nesta campanha, utiliza Cloudflare Workers como proxy de C2 — tornando o tráfego praticamente indistinguível de navegação web legítima. Características técnicas identificadas:

  • Beaconing via HTTPS com jitter randomizado entre 3 e 11 minutos
  • Comandos codificados em Base64 dentro de cookies HTTP
  • Suporte a exfiltração de arquivos, captura de tela e keylogging
  • Auto-deleção em ambientes de sandbox detectados via timing attacks

IOCs Identificados

# Domínios de C2 (via Cloudflare Workers)
intel-updates[.]workers.dev
secure-docs[.]pages.dev
gov-notify[.]workers.dev

# IPs de staging (descartados após 72h)
45.142.212.100
185.220.101.47

Recomendações

  • Aplicar imediatamente o patch KB5043145 (Windows Update de março 2026)
  • Habilitar auditoria de criação de processos (Event ID 4688) com linha de comando completa
  • Bloquear execução de arquivos LNK provenientes de emails via regras de ASR
  • Monitorar injeção de código em explorer.exe (Event ID 10, Sysmon)
  • Revisar registros de COM Object Hijacking em HKCU\Software\Classes
MITRE ATT&CK — Técnicas Observadas
T1203 Exploitation for Client Execution T1204.002 Malicious File T1566.001 Spear Phishing Attachment T1055 Process Injection T1070.004 File Deletion T1071.001 Web Protocols C2
Tags: APT28 Fancy Bear CVE-2026-21513 MSHTML LNK Windows Sandbox spear phishing MITRE ATT&CK
EQUIPE CYBERBOX THREAT INTEL
Threat Intelligence Team

Análises técnicas de ameaças cibernéticas, TTPs de grupos APT, vulnerabilidades críticas e tendências do cenário de ataques na América Latina e global.

Leia Também
APT & Espionagem
Shadow Campaigns: APT28 Opera Infraestrutura Paralela de C2 por 14 Meses
08 Fev 2026
APT & Espionagem
APT28 Usa CVE-2026-21509 para Pivotamento Cloud-to-On-Premises
09 Fev 2026
Vulnerabilidades
Android 0-day CVE-2026-21385: Google Confirma Exploração Ativa
02 Mar 2026