**APT28** lié à une campagne de spear-phishing **APT28**, un groupe parrainé par l'État russe, a été lié à une nouvelle campagne de spear-phishing ciblant l'Ukraine et ses alliés. La campagne déploie une suite de malwares jusqu'alors non documentée, baptisée **PRISMEX**. Selon les chercheurs de **Trend Micro**, Feike Hacquebord et Hiroyuki Kakara, « **PRISMEX** combine stéganographie avancée, détournement de Component Object Model (COM) et abus de services cloud légitimes pour le command-and-control (C2) ». La campagne serait active depuis au moins septembre 2025. Secteurs ciblés L'activité a ciblé divers secteurs en Ukraine, notamment les organes exécutifs centraux, l'hydrométéorologie, la défense et les services d'urgence. Elle a également touché la logistique ferroviaire en Pologne, le secteur maritime et des transports en Roumanie, en Slovénie et en Turquie, ainsi que des partenaires de soutien logistique impliqués dans des initiatives de munitions en Slovaquie et en République tchèque, et des partenaires militaires et de l'**OTAN**. Exploitation de vulnérabilités récentes La campagne se distingue par sa capacité à exploiter rapidement des failles nouvellement divulguées, telles que **CVE-2026-21509** et **CVE-2026-21513**, pour compromettre des cibles d'intérêt. La préparation de l'infrastructure a été observée le 12 janvier 2026, soit deux semaines seulement avant la divulgation publique de **CVE-2026-21509**. Fin février 2025, **Akamai** a également révélé qu'**APT28** aurait pu exploiter **CVE-2026-21513** comme un zero-day, basé sur un exploit de raccourci (LNK) de **Microsoft** téléchargé sur VirusTotal le 30 janvier 2026, bien avant la publication du correctif le 10 février 2026. Ce schéma suggère que l'acteur de menace avait une connaissance préalable des vulnérabilités. Chaîne d'attaque en deux étapes Un chevauchement intéressant entre les campagnes exploitant les deux vulnérabilités est le domaine « wellnesscaremed[.]com ». Cette communauté, combinée au calendrier des deux exploits, suggère que les acteurs de la menace enchaînent **CVE-2026-21513** et **CVE-2026-21509** dans une chaîne d'attaque sophistiquée en deux étapes. **Trend Micro** théorise que « la première vulnérabilité (**CVE-2026-21509**) force le système de la victime à récupérer un fichier .LNK malveillant, qui exploite ensuite la seconde vulnérabilité (**CVE-2026-21513**) pour contourner les fonctions de sécurité et exécuter des payloads sans avertissement pour l'utilisateur ». Composants du malware PRISMEX Les attaques aboutissent au déploiement soit de MiniDoor, un voleur d'e-mails Outlook, soit d'une collection de composants de malwares interconnectés collectivement connus sous le nom de **PRISMEX**, nommé ainsi pour son utilisation de la stéganographie. Ceux-ci incluent : * **PrismexSheet** : Un dropper Excel malveillant avec des macros VBA qui extrait les payloads intégrés dans le fichier à l'aide de la stéganographie, établit la persistance via le détournement de COM et affiche un document leurre lié aux listes d'inventaire de drones et aux prix des drones après l'activation des macros. * **PrismexDrop** : Un dropper natif qui prépare l'environnement pour une exploitation ultérieure et utilise des tâches planifiées et le détournement de DLL COM pour la persistance. * **PrismexLoader** (alias PixyNetLoader) : Une DLL proxy qui extrait le payload .NET de l'étape suivante dispersé dans la structure de fichiers d'une image PNG (« SplashScreen.png ») à l'aide d'un algorithme propriétaire « Bit Plane Round Robin » et l'exécute entièrement en mémoire. * **PrismexStager** : Un implant Grunt de **COVENANT** qui abuse du stockage cloud Filen.io pour le C2. Opération Neusploit Certains aspects de la campagne ont été précédemment documentés par **Zscaler** ThreatLabz sous le nom d'Opération Neusploit. Framework COVENANT et capacités destructrices L'utilisation par **APT28** de **COVENANT**, un framework de command-and-control (C2) open-source, a été mise en évidence pour la première fois par le Computer Emergency Response Team d'Ukraine (**CERT-UA**) en juin 2025. PrismexStager est considéré comme une extension de MiniDoor et NotDoor (alias GONEPOSTAL), une backdoor **Microsoft** Outlook déployée par le groupe de piratage fin 2025. Dans au moins un incident en octobre 2025, le payload Grunt de **COVENANT** a été trouvé non seulement pour faciliter la collecte d'informations, mais aussi pour exécuter une commande destructrice de type wiper qui efface tous les fichiers sous le répertoire « %USERPROFILE% ». Cette double capacité suggère que ces campagnes pourraient être conçues à la fois pour l'espionnage et le sabotage. Implications stratégiques « Cette opération démontre que Pawn Storm reste l'un des ensembles d'intrusion alignés sur la Russie les plus agressifs », a déclaré **Trend Micro**. « Le schéma de ciblage révèle une intention stratégique de compromettre la chaîne d'approvisionnement et les capacités de planification opérationnelle de l'Ukraine et de ses partenaires de l'**OTAN** ». « L'accent stratégique mis sur le ciblage des chaînes d'approvisionnement, des services météorologiques et des corridors humanitaires soutenant l'Ukraine représente un passage à la perturbation opérationnelle qui pourrait présager des activités plus destructrices. »