4. Februar 2026, 15:05 Uhr | Lesezeit: 3 Minuten
Erst vergangene Woche hat Microsoft vor einer schwerwiegenden Zero-Day-Sicherheitslücke in Microsoft Office gewarnt. Nur wenige Tage später wurde bekannt, dass eine bekannte Hackergruppe die Schwachstelle bereits aktiv für Cyberangriffe benutzt. Nutzer müssen handeln, um sich zu schützen.
Hackergruppe attackiert Ziele in Mittel- und Osteuropa
Im Januar haben die Sicherheitsforscher von Zscalers ThreatLabz eine neue Angriffskampagne erkannt, die sie seitdem als „Operation Neusploit“ verfolgen. Die Angriffe werden der Advance-Persistent-Threat-Gruppe APT28 zugeschrieben, die mit Russland in Verbindung steht. APT28 ist bereits seit Jahren für staatlich gesteuerte Cyberoperationen bekannt. Die Hacker nutzen die Schwachstelle CVE-2026-21509 in Microsoft Office aus, mit der durch manipulierte Textdateien Schadsoftware auf den Computer gelangen kann.
Grundlage für den Angriffsvektor sind manipulierte Textdateien im Rich-Text-Format (RTF). Die Angreifer nutzen Social-Engineering-E-Mails mit seriös wirkenden Inhalten, um die RTF-Dateien über den Anhang auf den Computern der Opfer einzuschleusen. Ziel ist es, die Empfänger zum Öffnen der Dateien zu bewegen und so die Infektion auszulösen. „Operation Neusploit“ betrifft überwiegend Ziele in Mittel- und Osteuropa. Die Mails sind in englischer Sprache sowie Rumänisch, Slowakisch und Ukrainisch verfasst.
WhatsApp warnt vor gefährlicher Sicherheitslücke! Nutzer müssen handeln
Windows-10-Nutzer sollten sofort updaten!
Mehrstufige, kaum erkennbare Infektion
Beim Öffnen der RTF-Dokumente wird eine kritische Sicherheitslücke in der Office-Verarbeitung ausgenutzt. Der Angriff erfolgt ohne sichtbare Warnmeldung oder Rückfrage. Angreifer können dadurch beliebigen Programmcode auf dem betroffenen Rechner ausführen und die Kontrolle übernehmen.
Die Infektionskette besteht aus zwei unterschiedlichen Varianten sogenannter Dropper – Software, die weitere Malware auf infizierten Systemen installieren kann. Antivirenprogramme übersehen die Dropper oft, da sie selbst keine Malware enthalten, sondern diese erst nachliefern.
Eine Variante installiert MiniDoor, das E-Mails in Microsoft Outlook auslesen und an die Angreifer weiterleiten kann. Zusätzlich verändert MiniDoor die Windows-Registry, um Sicherheitsfunktionen zu umgehen und somit dauerhaft Zugriff auf Outlook zu erhalten.
Eine zweite, deutlich gefährlichere Dropper-Variante spielt PixyNetLoader auf, das in einem weiteren Schritt das Covenant-Grunt-Implantat nachinstallieren kann. Damit bekommen Angreifer Command-and-Control-Fähigkeiten und können das gesamte System steuern.
Um sich zu tarnen, spielen die Dropper die Schadcode-Nutzlast nur an klar geografisch festgelegte Ziele aus. Das erschwert die Entdeckung durch Sicherheitsforscher erheblich.
Auch interessant: Werden unsere Pixel-Smartphones abgehört?
Microsoft stellt Update für Office bereit
Nutzer von Office 2021, Office 2024 und Microsoft 365 erhalten automatisch einen Sicherheitspatch per Update – allerdings ist ein Neustart der Anwendungen erforderlich, um die Installation abzuschließen.
Für Office 2016 und Office 2019 ist eine manuelle Installation des Sicherheitsupdates erforderlich. Alternativ gibt Microsoft Nutzern eine Anleitung zur Änderung der Registry an die Hand, um sich mit sofortiger Wirkung gegen die Angriffe zu schützen.