{"id":111,"date":"2026-03-02T12:50:56","date_gmt":"2026-03-02T12:50:56","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/02\/apt28-vinculado-a-cve-2026-21513-mshtml-de-dia-0-explotado-antes-del-parche-del-martes-de-febrero-de-2026-cyberdefensa-mx\/"},"modified":"2026-03-02T12:50:56","modified_gmt":"2026-03-02T12:50:56","slug":"apt28-vinculado-a-cve-2026-21513-mshtml-de-dia-0-explotado-antes-del-parche-del-martes-de-febrero-de-2026-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/02\/apt28-vinculado-a-cve-2026-21513-mshtml-de-dia-0-explotado-antes-del-parche-del-martes-de-febrero-de-2026-cyberdefensa-mx\/","title":{"rendered":"APT28 vinculado a CVE-2026-21513 MSHTML de d\u00eda 0 explotado antes del parche del martes de febrero de 2026 \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Una falla de seguridad recientemente revelada y reparada por Microsoft puede haber sido explotada por el actor de amenazas patrocinado por el estado vinculado a Rusia conocido como APT28, seg\u00fan nuevos hallazgos<\/a> de Akamai.<\/p>\n

La vulnerabilidad en cuesti\u00f3n es CVE-2026-21513<\/strong> (Puntuaci\u00f3n CVSS: 8,8), una funci\u00f3n de seguridad de alta gravedad que afecta al marco MSHTML.<\/p>\n

\u00abLa falla del mecanismo de protecci\u00f3n en MSHTML Framework permite a un atacante no autorizado eludir una caracter\u00edstica de seguridad en una red\u00bb, Microsoft anotado<\/a> en su aviso sobre la falla. Fue solucionado por el fabricante de Windows como parte de su actualizaci\u00f3n del martes de parches de febrero de 2026.<\/p>\n

Sin embargo, el gigante tecnol\u00f3gico tambi\u00e9n se\u00f1al\u00f3 que la vulnerabilidad hab\u00eda sido explotada como un d\u00eda cero en ataques del mundo real, y le dio cr\u00e9dito al Microsoft Threat Intelligence Center (MSTIC), al Microsoft Security Response Center (MSRC) y al equipo de seguridad del grupo de productos de Office, junto con el Google Threat Intelligence Group (GTIG), por informarlo.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

En un escenario de ataque hipot\u00e9tico, un actor de amenazas podr\u00eda convertir la vulnerabilidad en un arma persuadiendo a la v\u00edctima para que abra un archivo HTML o un archivo de acceso directo (LNK) malicioso entregado a trav\u00e9s de un enlace o como un archivo adjunto de correo electr\u00f3nico.<\/p>\n

Una vez que se abre el archivo elaborado, manipula el navegador y el manejo del Shell de Windows, lo que hace que el sistema operativo ejecute el contenido, se\u00f1al\u00f3 Microsoft. Esto, a su vez, permite al atacante eludir las funciones de seguridad y potencialmente lograr la ejecuci\u00f3n del c\u00f3digo.<\/p>\n

Si bien la compa\u00f1\u00eda no ha compartido oficialmente ning\u00fan detalle sobre el esfuerzo de explotaci\u00f3n de d\u00eda cero, Akamai dijo que identific\u00f3 un artefacto malicioso<\/a> que se subi\u00f3 a VirusTotal el 30 de enero de 2026 y est\u00e1 asociado con la infraestructura vinculada a APT28.<\/p>\n

\"\"<\/a><\/div>\n

Vale la pena se\u00f1alar que la muestra fue se\u00f1alada por el Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) a principios del mes pasado en relaci\u00f3n con los ataques de APT28 que explotaban otra falla de seguridad en Microsoft Office (CVE-2026-21509, puntuaci\u00f3n CVSS: 7,8).<\/p>\n

La compa\u00f1\u00eda de infraestructura web dijo que CVE-2026-21513 tiene su origen en la l\u00f3gica dentro de \u00abieframe.dll\u00bb que maneja la navegaci\u00f3n de hiperv\u00ednculos, y que es el resultado de una validaci\u00f3n insuficiente de la URL de destino, lo que permite que la entrada controlada por el atacante alcance rutas de c\u00f3digo que invocan ShellExecuteExW<\/a>. Esto, a su vez, permite la ejecuci\u00f3n de recursos locales o remotos fuera del contexto de seguridad previsto del navegador.<\/p>\n

\u00abEsta carga \u00fatil implica un acceso directo de Windows (LNK) especialmente dise\u00f1ado que incrusta un archivo HTML inmediatamente despu\u00e9s de la estructura LNK est\u00e1ndar\u00bb, dijo el investigador de seguridad Maor Dahan. \u00abEl archivo LNK inicia comunicaci\u00f3n con el dominio wellnesscaremed[.]com, que se atribuye a APT28 y se ha utilizado ampliamente para las cargas \u00fatiles de varias etapas de la campa\u00f1a. El exploit aprovecha los iframes anidados y m\u00faltiples contextos DOM para manipular los l\u00edmites de confianza\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Akamai se\u00f1al\u00f3 que la t\u00e9cnica hace posible que un atacante eluda la Marca de la Web (MotW<\/a>) y Configuraci\u00f3n de seguridad mejorada de Internet Explorer (Es decir, ESC<\/a>), lo que lleva a una degradaci\u00f3n del contexto de seguridad y, en \u00faltima instancia, facilita la ejecuci\u00f3n de c\u00f3digo malicioso fuera del entorno limitado del navegador a trav\u00e9s de ShellExecuteExW<\/a>.<\/p>\n

\u00abSi bien la campa\u00f1a observada aprovecha archivos LNK maliciosos, la ruta del c\u00f3digo vulnerable puede activarse a trav\u00e9s de cualquier componente que incorpore MSHTML\u00bb, a\u00f1adi\u00f3 la compa\u00f1\u00eda. \u00abPor lo tanto, se deben esperar mecanismos de entrega adicionales m\u00e1s all\u00e1 del phishing basado en LNK\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Una falla de seguridad recientemente revelada y reparada por Microsoft puede haber sido explotada por el actor de amenazas patrocinado por el estado vinculado a Rusia conocido como APT28, seg\u00fan nuevos hallazgos de Akamai. La vulnerabilidad en cuesti\u00f3n es CVE-2026-21513 (Puntuaci\u00f3n CVSS: 8,8), una funci\u00f3n de seguridad de alta gravedad que afecta al marco MSHTML. […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[289,286,287,24,70,145,66,292,291,288,290,242],"class_list":["post-111","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-antes","tag-apt28","tag-cve202621513","tag-cyberdefensa-mx","tag-del","tag-dia","tag-explotado","tag-febrero","tag-martes","tag-mshtml","tag-parche","tag-vinculado"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/111","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=111"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/111\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=111"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=111"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=111"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}