**APT28**、標的型攻撃キャンペーンに関連 ロシア国家支援グループである**APT28**は、ウクライナとその同盟国を標的とした新たな標的型攻撃キャンペーンに関連付けられています。このキャンペーンでは、これまで確認されていなかったマルウェアスイート「**PRISMEX**」が展開されています。 **Trend Micro**の研究者であるFeike Hacquebord氏とHiroyuki Kakara氏は、「**PRISMEX**は、高度なステガノグラフィー、コンポーネントオブジェクトモデル（COM）ハイジャック、および正規のクラウドサービス悪用をコマンド・アンド・コントロール（C2）のために組み合わせています」と述べています。このキャンペーンは、少なくとも2025年9月から活動していたと考えられています。 標的となったセクター この活動は、ウクライナの中央執行機関、水文気象、防衛、緊急サービスを含む様々なセクターを標的としています。また、ポーランドの鉄道物流、ルーマニア、スロベニア、トルコの海運・輸送、スロバキアとチェコ共和国における弾薬イニシアチブに関与する物流支援パートナー、そして軍事および**NATO**パートナーにも影響を与えています。 最近の脆弱性の悪用 このキャンペーンは、**CVE-2026-21509**や**CVE-2026-21513**のような新たに開示された脆弱性を迅速に悪用して、関心のあるターゲットを侵害した点で注目に値します。インフラストラクチャの準備は2026年1月12日に観測されており、これは**CVE-2026-21509**が公に開示されるわずか2週間前でした。 2025年2月下旬には、**Akamai**も、**APT28**が**Microsoft**ショートカット（LNK）の**exploit**に基づき、2026年1月30日にVirusTotalにアップロードされ、2026年2月10日のパッチリリースよりもはるかに前に**CVE-2026-21513**を**zero-day**として悪用した可能性があることを明らかにしました。 このパターンは、脅威アクターが脆弱性について事前に把握していたことを示唆しています。 2段階の攻撃チェーン 2つの脆弱性を悪用するキャンペーン間の興味深い重複として、「wellnesscaremed[.]com」というドメインがあります。この共通性と2つの**exploit**のタイミングを組み合わせると、脅威アクターが**CVE-2026-21513**と**CVE-2026-21509**を連携させて、洗練された2段階の攻撃チェーンを形成していることが示唆されます。 **Trend Micro**は、「最初の脆弱性（**CVE-2026-21509**）は、被害者のシステムに悪意のある.LNKファイルをリトリーブさせ、次に2番目の脆弱性（**CVE-2026-21513**）を悪用してセキュリティ機能をバイパスし、ユーザーの警告なしに**payload**を実行させます」と推測しています。 PRISMEXマルウェアコンポーネント 攻撃は、OutlookメールのステalerであるMiniDoor、またはステガノグラフィーの使用にちなんで**PRISMEX**と名付けられた相互接続されたマルウェアコンポーネントのコレクションのいずれかの展開で最高潮に達します。これらには以下が含まれます。 * **PrismexSheet**: VBAマクロを備えた悪意のあるExcelドロッパーで、ステガノグラフィーを使用してファイルに埋め込まれた**payload**を抽出し、COMハイジャックを通じて永続性を確立し、マクロが有効になった後にドローン在庫リストとドローン価格に関連する偽のドキュメントを表示します。 * **PrismexDrop**: 後続の**exploit**のために環境を準備するネイティブドロッパーで、永続性のためにスケジュールされたタスクとCOM DLLハイジャックを使用します。 * **PrismexLoader**（PixyNetLoaderとしても知られる）: PNG画像（「SplashScreen.png」）のファイル構造全体に分散した次のステージの.NET **payload**を、カスタムの「Bit Plane Round Robin」アルゴリズムを使用して抽出し、完全にメモリ内で実行するプロキシDLLです。 * **PrismexStager**: **C2**のためにFilen.ioクラウドストレージを悪用するCOVENANT Gruntインプラントです。 Operation Neusploit キャンペーンのいくつかの側面は、以前に**Zscaler** ThreatLabzによってOperation Neusploitという名称で文書化されていました。 COVENANTフレームワークと破壊的機能 **APT28**によるオープンソースのコマンド・アンド・コントロール（**C2**）フレームワークである**COVENANT**の使用は、2025年6月にウクライナのコンピュータ緊急対応チーム（**CERT-UA**）によって初めて強調されました。PrismexStagerは、MiniDoorおよびNotDoor（GONEPOSTALとしても知られる）の拡張であると評価されています。NotDoorは、ハッキンググループが2025年後半に展開した**Microsoft** Outlookの**backdoor**です。 少なくとも1つのインシデント（2025年10月）では、**COVENANT** Grunt **payload**が情報収集を容易にするだけでなく、「%USERPROFILE%」ディレクトリ下のすべてのファイルを消去する破壊的なワイパーコマンドを実行することが判明しました。この二重の能力は、これらのキャンペーンが諜報活動と破壊活動の両方を目的としている可能性を示唆しています。 戦略的影響 **Trend Micro**は、「この作戦は、Pawn Stormが依然として最も攻撃的なロシア関連の侵入セットの1つであることを示しています」と述べています。「標的パターンは、ウクライナとその**NATO**パートナーのサプライチェーンと運用計画能力を侵害するという戦略的意図を明らかにしています。」 「ウクライナを支援するサプライチェーン、気象サービス、人道回廊を標的とした戦略的焦点は、より破壊的な活動の前兆となりうる運用妨害へのシフトを表しています。」