**APT28** im Zusammenhang mit Spear-Phishing-Kampagne **APT28**, eine von der russischen Regierung unterstützte Gruppe, wurde mit einer neuen Spear-Phishing-Kampagne in Verbindung gebracht, die auf die Ukraine und ihre Verbündeten abzielt. Die Kampagne setzt eine bisher unbekannte Malware-Suite namens **PRISMEX** ein. Laut den Forschern von **Trend Micro**, Feike Hacquebord und Hiroyuki Kakara, "kombiniert **PRISMEX** fortschrittliche Steganografie, Component Object Model (COM)-Hijacking und die missbräuchliche Nutzung legitimer Cloud-Dienste für Command-and-Control (C2)." Die Kampagne soll seit mindestens September 2025 aktiv sein. Zielsektoren Die Aktivitäten richteten sich gegen verschiedene Sektoren in der Ukraine, darunter zentrale Exekutivorgane, Hydrometeorologie, Verteidigung und Notfalldienste. Sie beeinträchtigten auch die Bahnlogistik in Polen, den maritimen und Transportsektor in Rumänien, Slowenien und der Türkei sowie Logistikpartner, die an Munitionsinitiativen in der Slowakei und der Tschechischen Republik beteiligt sind, sowie Militär- und **NATO**-Partner. Ausnutzung neuerer Schwachstellen Die Kampagne zeichnet sich durch die schnelle Waffenung neu entdeckter Fehler aus, wie z. B. **CVE-2026-21509** und **CVE-2026-21513**, um Ziele von Interesse zu kompromittieren. Die Infrastrukturvorbereitung wurde am 12. Januar 2026 beobachtet, nur zwei Wochen nachdem **CVE-2026-21509** öffentlich bekannt gegeben wurde. Ende Februar 2025 gab **Akamai** außerdem bekannt, dass **APT28** möglicherweise **CVE-2026-21513** als zero-day ausgenutzt hat, basierend auf einem **Microsoft** Shortcut (LNK)-Exploit, der am 30. Januar 2026 auf VirusTotal hochgeladen wurde, lange bevor der Patch am 10. Februar 2026 veröffentlicht wurde. Dieses Muster deutet darauf hin, dass der Bedrohungsakteur Vorkenntnisse über die Schwachstellen hatte. Zweistufige Angriffskette Eine interessante Überschneidung zwischen Kampagnen, die die beiden Schwachstellen ausnutzen, ist die Domain "wellnesscaremed[.]com". Diese Gemeinsamkeit, kombiniert mit dem Timing der beiden Exploits, deutet darauf hin, dass die Bedrohungsakteure **CVE-2026-21513** und **CVE-2026-21509** zu einer ausgeklügelten zweistufigen Angriffskette zusammenfügen. **Trend Micro** vermutet, dass "die erste Schwachstelle (**CVE-2026-21509**) das System des Opfers zwingt, eine bösartige .LNK-Datei abzurufen, die dann die zweite Schwachstelle (**CVE-2026-21513**) ausnutzt, um Sicherheitsfunktionen zu umgehen und Payloads ohne Benutzerwarnungen auszuführen." PRISMEX Malware-Komponenten Die Angriffe gipfeln in der Bereitstellung von entweder MiniDoor, einem Outlook-E-Mail-Dieb, oder einer Sammlung miteinander verbundener Malware-Komponenten, die kollektiv als **PRISMEX** bezeichnet werden, benannt nach seiner Verwendung von Steganografie. Dazu gehören: * **PrismexSheet**: Ein bösartiger Excel-Dropper mit VBA-Makros, der Payloads extrahiert, die in der Datei mittels Steganografie eingebettet sind, Persistenz durch COM-Hijacking herstellt und ein Schein-Dokument bezüglich Drohneninventarlisten und Drohnenpreisen anzeigt, nachdem Makros aktiviert wurden. * **PrismexDrop**: Ein nativer Dropper, der die Umgebung für nachfolgende Exploits vorbereitet und geplante Aufgaben sowie COM-DLL-Hijacking für Persistenz nutzt. * **PrismexLoader** (auch bekannt als PixyNetLoader): Eine Proxy-DLL, die die .NET-Payload der nächsten Stufe extrahiert, die über die Dateistruktur eines PNG-Bildes ("SplashScreen.png") mit einem proprietären "Bit Plane Round Robin"-Algorithmus verteilt ist, und diese vollständig im Speicher ausführt. * **PrismexStager**: Ein COVENANT Grunt-Implantat, das Filen.io Cloud-Speicher für C2 missbraucht. Operation Neusploit Einige Aspekte der Kampagne wurden zuvor von **Zscaler** ThreatLabz unter dem Namen Operation Neusploit dokumentiert. COVENANT Framework und destruktive Fähigkeiten Die Verwendung von **COVENANT**, einem Open-Source-Command-and-Control (C2)-Framework, durch **APT28** wurde erstmals im Juni 2025 vom Computer Emergency Response Team der Ukraine (**CERT-UA**) hervorgehoben. PrismexStager wird als Erweiterung von MiniDoor und NotDoor (auch bekannt als GONEPOSTAL) eingeschätzt, einem **Microsoft** Outlook-Backdoor, das von der Hacking-Gruppe Ende 2025 eingesetzt wurde. In mindestens einem Vorfall im Oktober 2025 wurde festgestellt, dass die **COVENANT** Grunt-Payload nicht nur die Informationsbeschaffung ermöglichte, sondern auch einen destruktiven Wiper-Befehl ausführte, der alle Dateien im Verzeichnis "%USERPROFILE%" löscht. Diese doppelte Fähigkeit deutet darauf hin, dass diese Kampagnen sowohl für Spionage als auch für Sabotage konzipiert sein könnten. Strategische Implikationen "Diese Operation zeigt, dass Pawn Storm weiterhin eine der aggressivsten russisch-ausgerichteten Intrusion-Sets ist", sagte **Trend Micro**. "Das Angriffsmuster offenbart die strategische Absicht, die Lieferketten und die operativen Planungsfähigkeiten der Ukraine und ihrer **NATO**-Partner zu kompromittieren." "Der strategische Fokus auf die Angriffe auf Lieferketten, Wetterdienste und humanitäre Korridore, die die Ukraine unterstützen, stellt eine Verlagerung hin zu operativer Störung dar, die auf zerstörerischere Aktivitäten hindeuten könnte."