Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
APT28 scatena PRISMEX: spear phishing contro Ucraina e NATO con zero-day e steganografia cloud
Una nuova campagna di spear phishing attribuita al gruppo APT28 sta colpendo Ucraina e alleati NATO con l’obiettivo di distribuire PRISMEX, una suite malware finora non documentata che unisce steganografia avanzata, hijacking tramite Component Object Model e abuso di servizi cloud legittimi per il comando e controllo. L’attività risulta operativa almeno da settembre 2025 e mostra un approccio aggressivo e rapido nella weaponization di vulnerabilità appena rese note, con un chiaro orientamento alla compromissione di enti pubblici e infrastrutture critiche.
I settori presi di mira includono organismi esecutivi centrali ucraini, idrometeorologia, difesa, servizi di emergenza e logistica ferroviaria. La superficie di attacco si estende anche a partner europei coinvolti in trasporti e supporto logistico, con interessi in Polonia, Romania, Slovenia, Turchia, Slovacchia e Repubblica Ceca, oltre a realtà collegate a iniziative di munizionamento e cooperazione militare con la NATO. Questo schema evidenzia una strategia di cyber espionage che punta anche a influenzare pianificazione operativa e catene di fornitura.
Un elemento chiave della campagna è l’uso combinato di CVE-2026-21509 e CVE-2026-21513. L’infrastruttura per lo sfruttamento sarebbe stata predisposta con anticipo rispetto alla divulgazione pubblica, suggerendo conoscenza preventiva delle falle. L’ipotesi più rilevante è una catena a due stadi in cui la prima vulnerabilità induce il sistema a recuperare un file LNK malevolo, mentre la seconda consente di bypassare meccanismi di sicurezza ed eseguire payload senza avvisi per l’utente.
Il payload finale può essere MiniDoor, un malware focalizzato sul furto di email da Outlook, oppure PRISMEX, che nasconde componenti dentro immagini. Tra i moduli osservati spiccano:
- PrismexSheet: un dropper Excel con macro VBA che estrae dati via steganografia e attiva persistenza con COM hijacking mostrando un documento esca.
- PrismexDrop: prepara l’ambiente e usa attività pianificate e hijacking DLL.
- PrismexLoader: ricostruisce un payload .NET da una PNG con un algoritmo dedicato ed esegue in memoria.
- PrismexStager: impiega storage cloud Filen.io per il C2 tramite impianto COVENANT Grunt.
In almeno un caso è stata rilevata anche una capacità distruttiva di tipo wiper, segnale di possibili scenari di sabotaggio oltre allo spionaggio.