APT28 utiliza el malware PRISMEX en ataques dirigidos a Ucrania y aliados de la OTAN

El grupo de hackers ruso APT28, también conocido como Forest Blizzard o Pawn Storm, está llevando a cabo una nueva campaña de spear-phishing (envío de correos electrónicos fraudulentos muy personalizados) dirigida a Ucrania y sus aliados. El objetivo es desplegar un nuevo conjunto de programas maliciosos (malware) llamado PRISMEX. Investigadores de Trend Micro descubrieron esta campaña que estaría activa desde septiembre de 2025.

Cómo funciona el ataque

PRISMEX es un malware sofisticado que combina varias técnicas para evadir la detección y tomar el control de los sistemas. Utiliza:

• Esteganografía: Oculta partes del malware dentro de archivos de imagen para que sea más difícil detectarlo.
• Secuestro COM (Component Object Model): Aprovecha una función de Windows para ejecutar código malicioso en lugar de programas legítimos.
• Abuso de servicios en la nube legítimos: Utiliza servicios como Filen.io para controlar los equipos infectados (C2), mezclándose con el tráfico normal de internet.

La campaña también se caracteriza por el uso rápido de vulnerabilidades recién descubiertas, como CVE-2026-21509 y CVE-2026-21513, para infiltrarse en los sistemas. Estas vulnerabilidades permiten a los atacantes ejecutar código sin el permiso del usuario, explotando fallos en el sistema operativo Windows.

El ataque se desarrolla en varias etapas, aprovechando las vulnerabilidades CVE-2026-21509 y CVE-2026-21513 en una cadena de ataque sofisticada. La primera vulnerabilidad obliga al sistema a descargar un archivo .LNK malicioso, que luego aprovecha la segunda vulnerabilidad para evitar las medidas de seguridad y ejecutar el código malicioso sin alertar al usuario.

Al final del ataque, se instala un software espía llamado MiniDoor (que roba correos de Outlook) o el conjunto de malware PRISMEX.

A quién afecta

Los objetivos de esta campaña son diversos sectores en Ucrania, incluyendo:

• Organismos centrales del gobierno
• Servicios de hidrometeorología
• Defensa
• Servicios de emergencia

También se han identificado ataques en:

• Logística ferroviaria en Polonia
• Transporte marítimo en Rumania, Eslovenia y Turquía
• Socios de apoyo logístico involucrados en iniciativas de municiones en Eslovaquia y República Checa
• Socios militares y de la OTAN

Qué significa esto para ti

Esta campaña demuestra que APT28 sigue siendo una amenaza persistente y sofisticada. El grupo se enfoca en comprometer la cadena de suministro y la capacidad de planificación operativa de Ucrania y sus aliados de la OTAN. Esto representa un cambio hacia la interrupción operativa, lo que podría anticipar actividades más destructivas.

Es importante que tanto las organizaciones como los usuarios individuales estén al tanto de estas amenazas y tomen medidas para protegerse, como mantener el software actualizado, ser cautelosos con los correos electrónicos y archivos adjuntos sospechosos, y utilizar contraseñas seguras. La vigilancia y la precaución son clave para evitar ser víctima de este tipo de ataques.