كشفت شركة أمنية عن أدلة جديدة تربط مجموعة التهديدات الممولة من الدولة والمعروفة باسم APT28 باستغلال ثغرة أمنية خطيرة في نظام مايكروسوفت قبل إصدار التحديث الأمني. الثغرة المسماة CVE-2026-21513 تتعلق بخلل في إطار عمل MSHTML يسمح للمهاجم بتجاوز إحدى آليات الحماية الأساسية.
وفقاً للتحليل، تم استغلال هذه الثغرة كـ "ثغرة يوم الصفر" في هجمات حقيقية، حيث استهدف المهاجمون ضحاياهم عبر تصيّد إلكتروني دقيق. تقوم طريقة الهجوم على إقناع المستخدم بفتح ملف HTML أو اختصار LNK خبيث، غالباً ما يصل كمرفق بريد إلكتروني أو عبر رابط مشبوه.
عند فتح الملف المُعد خصيصاً، يتلاعب بالعمليات الأساسية في المتصفح وواجهة ويندوز، مما يؤدي إلى تنفيذ تعليمات برمجية خبيثة تتجاوز ضوابط الأمن السيبراني. هذه الآلية تمنح المهاجم القدرة على تنفيذ أكواد بشكل غير مصرح به على النظام المستهدف، مما يفتح الباب أمام عمليات أوسع مثل سرقة البيانات أو تثبيت برمجيات خبيثة.
أشارت التقارير إلى أن عينة ضارة مرتبطة بهذا الاستغلال تم رفعها إلى منصة VirusTotal في يناير 2026، وتم ربطها بالبنية التحتية الخاصة بمجموعة APT28. هذا الاكتشاف يسلط الضوء مرة أخرى على التهديدات المستمرة التي تشنها مجموعات متقدمة تستهدف الثغرات الأمنية في البرمجيات الشائعة.
يذكر أن الثغرة تنشأ من خلل في مكتبة "ieframe.dll" المسؤولة عن تنقل الروابط التشعبية، حيث لا يتم التحقق بشكل كاف من عنوان URL الهدف. هذا القصور يسمح لإدخال يتحكم فيه المهاجم بالوصول إلى مسارات تنفيذية حساسة في النظام، مما يؤدي إلى تشغيل موارد محلية أو بعيدة خارج نطاق الحماية المعتاد للمتصفح.
في هجمات مماثلة، غالباً ما يلجأ المهاجمون إلى تهديدات مثل فيروسات الفدية أو عمليات تسريب البيانات بعد اختراق الأنظمة. كما لوحظ توجه بعض المجموعات نحو استغلال تقنيات جديدة مثل كريبتو لتمويل عملياتها أو مهاجمة بنى أمن البلوكشين.
يشدد الخبراء على أهمية التحديث الفوري لأنظمة التشغيل والتطبيقات كخط دفاع أول ضد مثل هذه الاستغلالات. كما ينصحون المستخدمين والمنظمات بزيادة الوعي حول مخاطر التصيّد الإلكتروني وضرورة التحقق من مصادر الملفات والروابط قبل فتحها، وذلك لتعزيز الأمن السيبراني الشامل.
