**APT28** relacionado con campaña de spear-phishing **APT28**, un grupo patrocinado por el estado ruso, ha sido vinculado a una nueva campaña de spear-phishing dirigida a Ucrania y sus aliados. La campaña implementa una suite de malware previamente indocumentada denominada **PRISMEX**. Según los investigadores de **Trend Micro**, Feike Hacquebord y Hiroyuki Kakara, "**PRISMEX** combina esteganografía avanzada, secuestro de Component Object Model (COM) y abuso de servicios legítimos en la nube para el comando y control (C2)". Se cree que la campaña ha estado activa desde al menos septiembre de 2025. Sectores objetivo La actividad ha afectado a varios sectores en Ucrania, incluidos organismos ejecutivos centrales, hidrometeorología, defensa y servicios de emergencia. También ha impactado la logística ferroviaria en Polonia, el transporte marítimo y terrestre en Rumania, Eslovenia y Turquía, así como a socios de apoyo logístico involucrados en iniciativas de municiones en Eslovaquia y la República Checa, y socios militares y de la **OTAN**. Explotación de vulnerabilidades recientes La campaña destaca por su rápida utilización de fallos recién descubiertos, como **CVE-2026-21509** y **CVE-2026-21513**, para penetrar en los objetivos de interés. La preparación de la infraestructura se observó el 12 de enero de 2026, solo dos semanas antes de que **CVE-2026-21509** fuera divulgado públicamente. A finales de febrero de 2025, **Akamai** también reveló que **APT28** podría haber utilizado **CVE-2026-21513** como un zero-day basado en un exploit de acceso directo (LNK) de **Microsoft** que se subió a VirusTotal el 30 de enero de 2026, mucho antes de que el parche fuera lanzado el 10 de febrero de 2026. Este patrón sugiere que el actor de amenazas tenía conocimiento previo de las vulnerabilidades. Cadena de ataque de dos etapas Una superposición interesante entre las campañas que explotan las dos vulnerabilidades es el dominio "wellnesscaremed[.]com". Esta coincidencia, combinada con el momento de los dos exploits, sugiere que los actores de amenazas están enlazando **CVE-2026-21513** y **CVE-2026-21509** en una sofisticada cadena de ataque de dos etapas. **Trend Micro** teoriza que "La primera vulnerabilidad (**CVE-2026-21509**) obliga al sistema de la víctima a recuperar un archivo .LNK malicioso, que luego explota la segunda vulnerabilidad (**CVE-2026-21513**) para eludir las funciones de seguridad y ejecutar payloads sin advertencias para el usuario". Componentes del malware PRISMEX Los ataques culminan en la implementación de MiniDoor, un roba-correos de Outlook, o una colección de componentes de malware interconectados conocidos colectivamente como **PRISMEX**, llamado así por su uso de esteganografía. Estos incluyen: * **PrismexSheet**: Un dropper malicioso de Excel con macros VBA que extrae payloads incrustados en el archivo utilizando esteganografía, establece persistencia mediante secuestro de COM y muestra un documento señuelo relacionado con listas de inventario de drones y precios de drones después de habilitar las macros. * **PrismexDrop**: Un dropper nativo que prepara el entorno para la explotación posterior y utiliza tareas programadas y secuestro de DLL COM para la persistencia. * **PrismexLoader** (también conocido como PixyNetLoader): Una DLL proxy que extrae el payload .NET de siguiente etapa disperso en la estructura de archivos de una imagen PNG ("SplashScreen.png") utilizando un algoritmo personalizado "Bit Plane Round Robin" y lo ejecuta completamente en memoria. * **PrismexStager**: Un implante Grunt de COVENANT que abusa del almacenamiento en la nube de Filen.io para C2. Operación Neusploit Algunos aspectos de la campaña fueron documentados previamente por **Zscaler** ThreatLabz bajo el nombre de Operación Neusploit. Framework COVENANT y capacidades destructivas El uso de **APT28** de **COVENANT**, un framework de comando y control (C2) de código abierto, fue destacado por primera vez por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (**CERT-UA**) en junio de 2025. Se evalúa que PrismexStager es una expansión de MiniDoor y NotDoor (también conocido como GONEPOSTAL), un backdoor de **Microsoft** Outlook desplegado por el grupo de hackers a finales de 2025. En al menos un incidente en octubre de 2025, se encontró que el payload Grunt de **COVENANT** no solo facilitaba la recopilación de información, sino que también ejecutaba un comando destructor de tipo wiper que borraba todos los archivos bajo el directorio "%USERPROFILE%". Esta doble capacidad sugiere que estas campañas podrían estar diseñadas tanto para espionaje como para sabotaje. Implicaciones estratégicas "Esta operación demuestra que Pawn Storm sigue siendo uno de los conjuntos de intrusión alineados con Rusia más agresivos", dijo **Trend Micro**. "El patrón de objetivos revela una intención estratégica de comprometer la cadena de suministro y las capacidades de planificación operativa de Ucrania y sus socios de la **OTAN**". "El enfoque estratégico en atacar las cadenas de suministro, los servicios meteorológicos y los corredores humanitarios que apoyan a Ucrania representa un cambio hacia la interrupción operativa que puede presagiar actividades más destructivas."