今年2月，微软在例行更新（Patch Tuesday）中修补了6个零日漏洞，并指出这些漏洞均已被用于实际攻击。安全公司Akamai指出，其中的MSHTML框架安全功能绕过漏洞CVE-2026-21513，遭到俄罗斯国家级黑客组织APT28积极利用。该漏洞会导致MSHTML框架中的保护机制失效，允许未经授权的攻击者通过特制文件操控浏览器与Windows Shell的处理流程，从而在操作系统上执行指定内容，CVSS风险评分为8.8分（满分10分）。

针对CVE-2026-21513的成因，Akamai指出问题出现在IE框架组件ieframe.dll的特定功能中，源于超链接导向的处理逻辑缺乏充分验证。攻击者控制的输入内容可触发涉及ShellExecuteExW的代码路径，从而在超出预期的浏览器安全环境下执行本地或远程的外部资源。

Akamai将漏洞利用代码与公开的威胁情报关联后，发现相关攻击活动。恶意文件最早于1月30日上传至VirusTotal，其攻击基础设施与APT28有关。

此次攻击载荷涉及特制的LNK文件，黑客在标准的LNK文件结构后嵌入HTML文件，并通过嵌套的iframe和多个DOM上下文内容，操纵受感染系统的信任边界，从而绕过浏览器的“网络标记”（Mark of the Web，MotW）机制以及IE增强安全配置（IE Enhanced Security Configuration，IE ESC），进而触发CVE-2026-21513，使攻击者控制的内容能够调用ShellExecuteExW的代码路径，在浏览器沙箱之外的环境中执行。Akamai指出，尽管本次APT28使用恶意LNK文件作为利用漏洞的媒介，但该漏洞的根本问题可通过任意嵌入MSHTML组件触发，因此他们认为，未来攻击者可能会采用其他方式利用CVE-2026-21513。

APT28近期攻击活动频繁，例如，西班牙安全公司S2 Grupo披露了一波名为Operation MacroMaze的新型钓鱼攻击，黑客针对西欧与中欧的特定组织及政府相关实体，于2025年9月至今年1月期间发起攻击。