**APT28** Ligado a Campanha de Spear-Phishing O **APT28**, um grupo patrocinado pelo estado russo, foi ligado a uma nova campanha de spear-phishing visando a Ucrânia e seus aliados. A campanha implementa um conjunto de malware previamente não documentado, apelidado de **PRISMEX**. De acordo com os pesquisadores da **Trend Micro**, Feike Hacquebord e Hiroyuki Kakara, "**PRISMEX** combina esteganografia avançada, sequestro de Component Object Model (COM) e abuso de serviços de nuvem legítimos para comando e controle." Acredita-se que a campanha esteja ativa desde pelo menos setembro de 2025. Setores Alvos A atividade visou vários setores na Ucrânia, incluindo órgãos executivos centrais, hidrometeorologia, defesa e serviços de emergência. Também impactou a logística ferroviária na Polônia, marítima e de transporte na Romênia, Eslovênia e Turquia, bem como parceiros de suporte logístico envolvidos em iniciativas de munição na Eslováquia e República Tcheca, e parceiros militares e da **OTAN**. Exploração de Vulnerabilidades Recentes A campanha é notável por sua rápida militarização de falhas recém-divulgadas, como **CVE-2026-21509** e **CVE-2026-21513**, para violar alvos de interesse. A preparação da infraestrutura foi observada em 12 de janeiro de 2026, apenas duas semanas antes de **CVE-2026-21509** ser divulgado publicamente. No final de fevereiro de 2025, a **Akamai** também revelou que o **APT28** pode ter militarizado **CVE-2026-21513** como um zero-day com base em um exploit de Atalho (LNK) da **Microsoft** que foi carregado no VirusTotal em 30 de janeiro de 2026, bem antes do patch ser lançado em 10 de fevereiro de 2026. Este padrão sugere que o ator de ameaças tinha conhecimento prévio das vulnerabilidades. Cadeia de Ataque em Duas Etapas Uma sobreposição interessante entre as campanhas que exploram as duas vulnerabilidades é o domínio "wellnesscaremed[.]com". Essa semelhança, combinada com o timing dos dois exploits, sugere que os atores de ameaças estão encadeando **CVE-2026-21513** e **CVE-2026-21509** em uma sofisticada cadeia de ataque em duas etapas. A **Trend Micro** teoriza que "A primeira vulnerabilidade (**CVE-2026-21509**) força o sistema da vítima a recuperar um arquivo .LNK malicioso, que então explora a segunda vulnerabilidade (**CVE-2026-21513**) para contornar recursos de segurança e executar payloads sem avisos do usuário." Componentes do Malware PRISMEX Os ataques culminam na implantação do MiniDoor, um roubador de e-mails do Outlook, ou em uma coleção de componentes de malware interconectados coletivamente conhecidos como **PRISMEX**, nomeado por seu uso de esteganografia. Estes incluem: * **PrismexSheet**: Um dropper malicioso do Excel com macros VBA que extrai payloads embutidos no arquivo usando esteganografia, estabelece persistência via sequestro de COM e exibe um documento de isca relacionado a listas de inventário de drones e preços de drones após as macros serem habilitadas. * **PrismexDrop**: Um dropper nativo que prepara o ambiente para exploração subsequente e usa tarefas agendadas e sequestro de DLL COM para persistência. * **PrismexLoader** (também conhecido como PixyNetLoader): Uma DLL proxy que extrai o payload .NET de próximo estágio espalhado pela estrutura de arquivos de uma imagem PNG ("SplashScreen.png") usando um algoritmo proprietário "Bit Plane Round Robin" e o executa inteiramente na memória. * **PrismexStager**: Um implante GRUNT do COVENANT que abusa do armazenamento em nuvem Filen.io para C2. Operação Neusploit Alguns aspectos da campanha foram previamente documentados pela **Zscaler** ThreatLabz sob o nome de Operação Neusploit. Framework COVENANT e Capacidades Destrutivas O uso do **COVENANT**, um framework de comando e controle (C2) de código aberto, pelo **APT28**, foi destacado pela primeira vez pelo Computer Emergency Response Team da Ucrânia (**CERT-UA**) em junho de 2025. O PrismexStager é avaliado como uma expansão do MiniDoor e NotDoor (também conhecido como GONEPOSTAL), um backdoor do Microsoft Outlook implantado pelo grupo de hacking no final de 2025. Em pelo menos um incidente em outubro de 2025, o payload GRUNT do **COVENANT** foi encontrado não apenas facilitando a coleta de informações, mas também executando um comando de wiper destrutivo que apaga todos os arquivos sob o diretório "%USERPROFILE%". Essa capacidade dupla sugere que essas campanhas podem ser projetadas tanto para espionagem quanto para sabotagem. Implicações Estratégicas "Esta operação demonstra que o Pawn Storm continua sendo um dos conjuntos de intrusão mais agressivos alinhados à Rússia", disse a **Trend Micro**. "O padrão de direcionamento revela uma intenção estratégica de comprometer a cadeia de suprimentos e as capacidades de planejamento operacional da Ucrânia e de seus parceiros da **OTAN**." "O foco estratégico em atingir as cadeias de suprimentos, serviços meteorológicos e corredores humanitários que apoiam a Ucrânia representa uma mudança em direção à interrupção operacional que pode prenunciar atividades mais destrutivas."