# CVE-2026-21513 - MSHTML Zero-Day Explorado pelo APT28 > [!high] CVSS 8.8 · EPSS 97º percentil - Zero-day confirmado explorado pelo APT28 (GRU) em operação de espionagem · Patch Tuesday fev/2026 ## Visão Geral A CVE-2026-21513 é uma vulnerabilidade zero-day no MSHTML (motor de renderização HTML legado do Windows, implementado em `ieframe.dll`) que permite execução de código através de arquivos `.LNK` maliciosos com HTML embutido. A falha foi atribuída ao grupo de espionagem russo [[g0007-apt28|APT28]] (GRU, Forest Blizzard), que a explorou ativamente em operações contra alvos ucranianos e do Leste Europeu antes do Patch Tuesday de fevereiro de 2026. A confirmação de exploração ativa por um ator estatal de alto nível, combinada com EPSS de 97º percentil, posiciona esta CVE como prioridade crítica de remediação. O exploit foi carregado ao VirusTotal em 30 de janeiro de 2026, revelando a janela de exploração pré-patch. Embora não esteja no catálogo CISA KEV, a exploração confirmada por APT justifica tratamento equivalente. > [!latam] Relevância para Brasil e LATAM > O APT28 tem histórico de expandir alvos para parceiros e aliados de suas vítimas primárias. Órgãos governamentais brasileiros com relacionamentos diplomáticos ou de defesa com países da OTAN e Ucrânia podem estar em escopo expandido das operações do grupo. O MSHTML ainda está presente no Windows 10 - sistema operacional dominante no parque corporativo brasileiro - tornando a superfície de ataque significativa em todo o LATAM. ## Exploração O [[g0007-apt28|APT28]] criou arquivos `.LNK` que embutem código HTML apontando para o domínio controlado pelo atacante `wellnesscaremed[.]com`. Quando processado pelo Windows Explorer ou qualquer componente que use MSHTML, a renderização aciona a vulnerabilidade fora do sandbox. A cadeia completa: arquivo `.LNK` malicioso entregue via spear-phishing → MSHTML renderiza HTML embutido → conexão ao C2 → payload instalado. Apenas navegar até a pasta contendo o `.LNK` pode ser suficiente para disparo - sem necessidade de abrir o arquivo. As técnicas documentadas incluem [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]], [[t1203-exploitation-client-execution|T1203 - Exploitation for Client Execution]] e [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] para comunicação com C2. O [[t1027-obfuscated-files|T1027]] foi utilizado para ofuscar o payload HTML dentro do `.LNK`. ## Indicadores de Comprometimento > [!ioc]- IOCs - CVE-2026-21513 APT28 MSHTML Zero-Day (TLP:WHITE) > Fonte: Security Affairs, The Hacker News, Foresiet, janeiro-fevereiro 2026. > > **Domínio C2 (Defanged):** > `wellnesscaremed[.]com` - domínio C2 APT28 referênciado em arquivos .LNK maliciosos > > **Behavioral IoCs:** > - Arquivos `.LNK` com tamanho anormalmente grande (conteúdo HTML embutido) > - Processos `wscript.exe`, `mshta.exe` ou `explorer.exe` iniciando conexões de rede externas > - Uso de `ieframe.dll` / MSHTML em contextos suspeitos (rendering fora do browser) ## Mitigação - Instalar atualização do Patch Tuesday de fevereiro de 2026 (10 de fevereiro de 2026) - Desabilitar MSHTML/Internet Explorer legado via Group Policy onde não necessário - Bloquear domínios C2 conhecidos no proxy/DNS - Monitorar criação de processos filhos inesperados a partir de `explorer.exe` - Implementar regras EDR para detecção de uso de `ieframe.dll`/MSHTML em contextos suspeitos ## Referências - [Security Affairs - APT28 CVE-2026-21513](https://securityaffairs.com) - [The Hacker News - MSHTML Zero-Day](https://thehackernews.com) - [NVD - CVE-2026-21513](https://nvd.nist.gov/vuln/detail/CVE-2026-21513) - CVEs da mesma operação APT28: [[cve-2026-21509|CVE-2026-21509]] · [[cve-2026-21510|CVE-2026-21510]] - Ator: [[g0007-apt28|APT28]]