El actor de amenazas ruso conocido como APT28 (todavía conocido como Forest Blizzard y Pawn Storm) ha sido vinculado a una nueva campaña de phishing dirigida a Ucrania y sus aliados para implementar un paquete de malware previamente indocumentado con nombre en código. PRISMEX.
“PRISMEX combina esteganografía destacamento, secuestro del maniquí de objetos componentes (COM) y injusticia verdadero de servicios en la montón para comando y control”, dijeron en un documentación técnico los investigadores de Trend Micro Feike Hacquebord y Hiroyuki Kakara. Se cree que la campaña está activa desde al menos septiembre de 2025.
La actividad se ha centrado en varios sectores de Ucrania, incluidos los órganos ejecutivos centrales, la hidrometeorología, la defensa y los servicios de emergencia, así como la abastecimiento ferroviaria (Polonia), marítima y de transporte (Rumania, Eslovenia, Turquía), y socios de apoyo logístico involucrados en iniciativas de municiones (Eslovaquia, República Checa), y socios militares y de la OTAN.
La campaña se destaca por la rápida utilización como armamento de fallas recientemente reveladas, como CVE-2026-21509 y CVE-2026-21513, para violar objetivos de interés, y la preparación de la infraestructura se observó el 12 de enero de 2026, exactamente dos semanas antaño de que la primera se revelara públicamente.
A finales de febrero de 2025, Akamai todavía reveló que APT28 pudo acaecer convertido a CVE-2026-21513 en un armamento como un día cero basado en un exploit de llegada directo de Microsoft (LNK) que se cargó en VirusTotal el 30 de enero de 2026, mucho antaño de que el fabricante de Windows lanzara una decisión como parte de su modernización del martes de parches el 10 de febrero de 2026.
Este patrón de explotación de día cero indica que el actor de la amenaza tenía conocimiento progresista de las vulnerabilidades antaño de que Microsoft las revelara.
Una superposición interesante entre las campañas que explotan las dos vulnerabilidades es el dominio “wellnesscaremed(.)com”. Estos puntos en popular, combinados con el momento de los dos exploits, han planteado la posibilidad de que los actores de la amenaza estén encadenando CVE-2026-21513 y CVE-2026-21509 en una sofisticada condena de ataque de dos etapas.
“La primera vulnerabilidad (CVE-2026-21509) obliga al sistema de la víctima a recuperar un archivo .LNK malvado, que luego explota la segunda vulnerabilidad (CVE-2026-21513) para eludir las funciones de seguridad y ejecutar cargas efectos sin advertencias para el agraciado”, teorizó Trend Micro.
Los ataques culminan con el despliegue de MiniDoor, un descuidero de correo electrónico de Outlook, o una colección de componentes de malware interconectados conocidos colectivamente como PRISMEX, llamado así por el uso de una técnica esteganográfica para ocultar cargas efectos en el interior de archivos de imágenes. Estos incluyen –
- PrismexHojaun cuentagotas malvado de Excel con macros VBA que extrae cargas efectos incrustadas en el archivo mediante esteganografía, establece persistencia mediante secuestro de COM y muestra un documento señuelo relacionado con listas de inventario de drones y precios de drones una vez habilitadas las macros.
- PrismexDropun cuentagotas nativo que prepara el entorno para una explotación posterior y utiliza tareas programadas y secuestro de DLL COM para obtener persistencia.
- Cargador Prismex (todavía conocido como PixyNetLoader), una DLL proxy que extrae la carga útil .NET de la sucesivo etapa dispersa en la estructura de archivos de una imagen PNG (“SplashScreen.png”) utilizando un operación personalizado “Bit Plane Round Robin” y lo ejecuta completamente en la memoria.
- PrismexStagerun implante COVENANT Grunt que abusa del almacenamiento en la montón Filen.io para C2.
Vale la pena mencionar aquí que algunos aspectos de la campaña fueron documentados previamente por Zscaler ThreatLabz bajo el nombre de Operación Neusploit.
El uso de COVENANT por parte de APT28, un situación de comando y control (C2) de código amplio, fue destacado por primera vez por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en junio de 2025. Se considera que PrismexStager es una expansión de MiniDoor y NotDoor (todavía conocido como GONEPOSTAL), una puerta trasera de Microsoft Outlook implementada por el orden de hackers a finales de 2025.
En al menos un incidente ocurrido en octubre de 2025, se descubrió que la carga útil COVENANT Grunt no solo facilitaba la resumen de información, sino que todavía ejecutaba un comando de virginidad destructivo que poso todos los archivos del directorio “%USERPROFILE%”. Esta doble capacidad da peso a la hipótesis de que estas campañas podrían diseñarse tanto para el espionaje como para el boicoteo.
“Esta operación demuestra que Pawn Storm sigue siendo uno de los grupos de intrusión más agresivos alineados con Rusia”, afirmó Trend Micro. “El patrón de objetivos revela una intención estratégica de comprometer la condena de suministro y las capacidades de planificación operativa de Ucrania y sus socios de la OTAN”.
“El enfoque táctico en atacar las cadenas de suministro, los servicios meteorológicos y los corredores humanitarios que apoyan a Ucrania representa un cambio con destino a una interrupción operativa que puede presagiar actividades más destructivas”.
