Wed, 08 Apr 2026
← VoltarAPT28 lançou uma campanha de spear-phishing para implantar malware PRISMEX direcionado à Ucrânia e aliados. PRISMEX usa esteganografia, sequestro de COM e abuso de nuvem para C2.
O ator russo conhecido como APT28 (também conhecido como Forest Blizzard e Pawn Storm) foi vinculado a uma nova campanha de spear-phishing visando a Ucrânia e seus aliados para implantar um conjunto de malware anteriormente não documentado, de codinome PRISMEX. “O PRISMEX combina esteganografia avançada, sequestro de modelo de objeto componente (COM) e abuso legítimo de serviço em nuvem para comando e controle”, disseram os pesquisadores da Trend Micro Feike Hacquebord e Hiroyuki Kakara em um relatório técnico. Acredita-se que a campanha esteja ativa desde pelo menos setembro de 2025. A atividade tem como alvo vários setores na Ucrânia, incluindo órgãos executivos centrais, hidrometeorologia, defesa e serviços de emergência, bem como logística ferroviária (Polónia), marítima e de transporte (Roménia, Eslovénia, Turquia), e parceiros de apoio logístico envolvidos em iniciativas de munições (Eslováquia, República Checa), e parceiros militares e da NATO.
A campanha é notável pela rápida utilização como arma de falhas recentemente divulgadas, como CVE-2026-21509 e CVE-2026-21513, para violar alvos de interesse, com a preparação da infraestrutura observada em 12 de janeiro de 2026, exatamente duas semanas antes da primeira ser divulgada publicamente. No final de fevereiro de 2025, a Akamai também divulgou que o APT28 pode ter transformado o CVE-2026-21513 em uma arma como um dia zero baseado em uma exploração do Microsoft Shortcut (LNK) que foi carregada no VirusTotal em 30 de janeiro de 2026, bem antes de o fabricante do Windows lançar uma correção como parte de sua atualização Patch Tuesday em 10 de fevereiro de 2026. Esse padrão de exploração de dia zero indica que o ator da ameaça tinha conhecimento avançado de as vulnerabilidades antes de serem reveladas pela Microsoft. Uma sobreposição interessante entre campanhas que exploram as duas vulnerabilidades é o domínio “wellnesscaremed[.]com”.
Esta semelhança, combinada com o momento das duas explorações, levantou a possibilidade de os agentes da ameaça estarem a unir o CVE-2026-21513 e o CVE-2026-21509 numa sofisticada cadeia de ataque em duas fases. “A primeira vulnerabilidade (CVE-2026-21509) força o sistema da vítima a recuperar um arquivo .LNK malicioso, que então explora a segunda vulnerabilidade (CVE-2026-21513) para ignorar recursos de segurança e executar cargas sem avisos do usuário”, teorizou a Trend Micro. Os ataques culminam na implantação do MiniDoor, um ladrão de e-mail do Outlook, ou de uma coleção de componentes de malware interconectados conhecidos coletivamente como PRISMEX, assim chamados devido ao uso de uma técnica esteganográfica para ocultar cargas dentro de arquivos de imagem. Isso inclui - PrismexSheet, um conta-gotas malicioso do Excel com macros VBA que extrai cargas incorporadas no arquivo usando esteganografia, estabelece persistência por meio de sequestro de COM e exibe um documento falso relacionado a listas de inventário de drones e preços de drones depois que as macros são habilitadas.
, um conta-gotas malicioso do Excel com macros VBA que extrai cargas incorporadas no arquivo usando esteganografia, estabelece persistência por meio de sequestro de COM e exibe um documento falso relacionado a listas de inventário de drones e preços de drones depois que as macros são habilitadas. PrismexDrop , um conta-gotas nativo que prepara o ambiente para exploração subsequente e usa tarefas agendadas e sequestro de DLL COM para persistência. , um conta-gotas nativo que prepara o ambiente para exploração subsequente e usa tarefas agendadas e sequestro de DLL COM para persistência. PrismexLoader (também conhecido como PixyNetLoader), uma DLL proxy que extrai a carga útil do .NET de próximo estágio espalhada pela estrutura de arquivo de uma imagem PNG ("SplashScreen.png") usando um algoritmo "Bit Plane Round Robin" personalizado e o executa inteiramente na memória.
(também conhecido como PixyNetLoader), uma DLL proxy que extrai a carga útil do .NET de próximo estágio espalhada pela estrutura de arquivo de uma imagem PNG ("SplashScreen.png") usando um algoritmo "Bit Plane Round Robin" personalizado e o executa inteiramente na memória. PrismexStager, um implante COVENANT Grunt que abusa do armazenamento em nuvem Filen.io para C2. Vale a pena mencionar aqui que alguns aspectos da campanha foram documentados anteriormente pelo Zscaler ThreatLabz sob o nome r Operação Neusploit. O uso do COVENANT pelo APT28, uma estrutura de comando e controle (C2) de código aberto, foi destacado pela primeira vez pela Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) em junho de 2025.
PrismexStager é avaliado como uma expansão do MiniDoor e NotDoor (também conhecido como GONEPOSTAL), um backdoor do Microsoft Outlook implantado pelo grupo de hackers no final de 2025. Em pelo menos um incidente em outubro de 2025, o Descobriu-se que a carga útil do COVENANT Grunt não apenas facilita a coleta de informações, mas também executa um comando de limpeza destrutivo que apaga todos os arquivos no diretório "%USERPROFILE%". Esta dupla capacidade dá peso à hipótese de que estas campanhas poderiam ser concebidas tanto para espionagem como para sabotagem. “Esta operação demonstra que Pawn Storm continua sendo um dos grupos de intrusão mais agressivos alinhados à Rússia”, disse a Trend Micro.
“O padrão de seleção de alvos revela uma intenção estratégica de comprometer a cadeia de abastecimento e as capacidades de planeamento operacional da Ucrânia e dos seus parceiros da NATO.” “O foco estratégico em atingir as cadeias de abastecimento, os serviços meteorológicos e os corredores humanitários que apoiam a Ucrânia representa uma mudança no sentido de uma perturbação operacional que pode pressagiar atividades mais destrutivas”.