Microsoft beschreibt das Angriffsszenario so: Ein Angreifer könnte ein Opfer dazu bringen, eine präparierte HTML-Datei oder eine Verknüpfungsdatei (LNK) zu öffnen, die über einen Link oder als E-Mail-Anhang verteilt wird. Beim Öffnen manipuliert die Datei die Verarbeitung durch Browser und Windows-Shell, sodass der Inhalt vom Betriebssystem ausgeführt wird. Dadurch lassen sich Sicherheitsmerkmale umgehen und unter Umständen Code ausführen.

Akamai identifizierte nach eigenen Angaben ein Schadartefakt, das am 30. Januar 2026 zu VirusTotal hochgeladen wurde und mit Infrastruktur in Verbindung steht, die APT28 zugeschrieben wird. Das Computer Emergency Response Team der Ukraine (CERT-UA) hatte die Datei in diesem Monat bereits markiert – im Zusammenhang mit Angriffen von APT28, die eine weitere Schwachstelle in Microsoft Office ausnutzten (CVE-2026-21509, CVSS-Wert: 7.8).

Nach Analyse von Akamai liegt CVE-2026-21513 in der Logik der Datei „ieframe.dll", die die Navigation über Hyperlinks verarbeitet. Ursache sei eine unzureichende Prüfung der Ziel-URL, wodurch von Angreifern kontrollierte Eingaben Codepfade erreichen können, die ShellExecuteExW aufrufen. Auf diese Weise lassen sich lokale oder entfernte Ressourcen außerhalb des vorgesehenen Sicherheitskontextes des Browsers ausführen.

„Dieser Schadcode nutzt eine speziell präparierte Windows-Verknüpfung (LNK), die unmittelbar nach der üblichen LNK-Struktur eine HTML-Datei einbettet", erklärte der Sicherheitsforscher Maor Dahan. Die LNK-Datei nehme Verbindung zur Domain wellnesscaremed[.]com auf, die APT28 zugeschrieben werde und in der Kampagne ausgiebig für mehrstufige Schadcode-Komponenten verwendet worden sei. Der Exploit setze auf verschachtelte Iframes und mehrere DOM-Kontexte, um Vertrauensgrenzen zu manipulieren.

Laut Akamai erlaubt die Technik einem Angreifer, das Mark-of-the-Web (MotW) sowie die Internet Explorer Enhanced Security Configuration (IE ESC) zu umgehen. Das führe zu einer Herabstufung des Sicherheitskontextes und ermögliche letztlich die Ausführung von Schadcode außerhalb der Browser-Sandbox über ShellExecuteExW.

Das Unternehmen betont, dass die beobachtete Kampagne zwar auf schädliche LNK-Dateien setze, der verwundbare Codepfad sich jedoch über jede Komponente auslösen lasse, die MSHTML einbettet. Daher seien weitere Verbreitungswege jenseits des LNK-basierten Phishings zu erwarten.