El actor de amenazas ruso conocido como APT28 (también conocido como Forest Blizzard y Pawn Storm) ha sido vinculado a una nueva campaña de phishing dirigida a Ucrania y sus aliados para implementar un paquete de malware previamente indocumentado con nombre en código. PRISMEX.
«PRISMEX combina esteganografía avanzada, secuestro del modelo de objetos componentes (COM) y abuso legítimo de servicios en la nube para comando y control», afirman los investigadores de Trend Micro Feike Hacquebord y Hiroyuki Kakara. dicho en un informe técnico. Se cree que la campaña está activa desde al menos septiembre de 2025.
La actividad se ha centrado en varios sectores de Ucrania, incluidos los órganos ejecutivos centrales, la hidrometeorología, la defensa y los servicios de emergencia, así como la logística ferroviaria (Polonia), marítima y de transporte (Rumania, Eslovenia, Turquía), y socios de apoyo logístico involucrados en iniciativas de municiones (Eslovaquia, República Checa), y socios militares y de la OTAN.
La campaña se destaca por la rápida utilización como arma de fallas recientemente reveladas, como CVE-2026-21509 y CVE-2026-21513, para violar objetivos de interés, y la preparación de la infraestructura se observó el 12 de enero de 2026, exactamente dos semanas antes de que la primera se revelara públicamente.
A finales de febrero de 2025, Akamai también reveló que APT28 pudo haber convertido a CVE-2026-21513 en un arma como un día cero basado en un exploit de acceso directo de Microsoft (LNK) que se cargó en VirusTotal el 30 de enero de 2026, mucho antes de que el fabricante de Windows lanzara una solución como parte de su actualización del martes de parches el 10 de febrero de 2026.
Este patrón de explotación de día cero indica que el actor de la amenaza tenía conocimiento avanzado de las vulnerabilidades antes de que Microsoft las revelara.
Una superposición interesante entre las campañas que explotan las dos vulnerabilidades es el dominio «wellnesscaremed[.]com.» Este punto en común, combinado con el momento de los dos exploits, ha planteado la posibilidad de que los actores de la amenaza estén encadenando CVE-2026-21513 y CVE-2026-21509 en una sofisticada cadena de ataque de dos etapas.
«La primera vulnerabilidad (CVE-2026-21509) obliga al sistema de la víctima a recuperar un archivo .LNK malicioso, que luego explota la segunda vulnerabilidad (CVE-2026-21513) para eludir las funciones de seguridad y ejecutar cargas útiles sin advertencias para el usuario», teorizó Trend Micro.
Los ataques culminan con el despliegue de cualquiera de los dos MiniDoor, un ladrón de correo electrónico de Outlook, o una colección de componentes de malware interconectados conocidos colectivamente como PRISMEX, llamado así por el uso de una técnica esteganográfica para ocultar cargas útiles dentro de archivos de imágenes. Estos incluyen –
- PrismexHojaun dropper malicioso de Excel con macros VBA que extrae cargas útiles incrustadas en el archivo mediante esteganografía, establece persistencia a través de secuestro de COMy muestra un documento señuelo relacionado con las listas de inventario de drones y los precios de los drones después de habilitar las macros.
- PrismexDropun cuentagotas nativo que prepara el entorno para una explotación posterior y utiliza tareas programadas y secuestro de DLL COM para lograr persistencia.
- Cargador Prismex (también conocido como PixyNetLoader), una DLL proxy que extrae la carga útil .NET de la siguiente etapa dispersa en la estructura de archivos de una imagen PNG («SplashScreen.png») utilizando un algoritmo personalizado «Bit Plane Round Robin» y lo ejecuta completamente en la memoria.
- PrismexStagerun implante COVENANT Grunt que abusa del almacenamiento en la nube Filen.io para C2.
Vale la pena mencionar aquí que algunos aspectos de la campaña fueron documentados previamente por Zscaler ThreatLabz bajo el nombre de Operación Neusploit.
El uso de COVENANT por parte de APT28, un marco de comando y control (C2) de código abierto, fue destacado por primera vez por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en junio de 2025. Se considera que PrismexStager es una expansión de MiniDoor y NotDoor (también conocido como GONEPOSTAL), una puerta trasera de Microsoft Outlook implementada por el grupo de hackers a finales de 2025.
En al menos un incidente ocurrido en octubre de 2025, se descubrió que la carga útil COVENANT Grunt no solo facilitaba la recopilación de información, sino que también ejecutaba un comando de limpieza destructivo que borra todos los archivos del directorio «%USERPROFILE%». Esta doble capacidad da peso a la hipótesis de que estas campañas podrían diseñarse tanto para el espionaje como para el sabotaje.
«Esta operación demuestra que Pawn Storm sigue siendo uno de los grupos de intrusión más agresivos alineados con Rusia», afirmó Trend Micro. «El patrón de objetivos revela una intención estratégica de comprometer la cadena de suministro y las capacidades de planificación operativa de Ucrania y sus socios de la OTAN».
«El enfoque estratégico en atacar las cadenas de suministro, los servicios meteorológicos y los corredores humanitarios que apoyan a Ucrania representa un cambio hacia una interrupción operativa que puede presagiar actividades más destructivas».
