APT28 Deploys PRISMEX Malware in Campaign Targeting Ukraine and NATO Allies

1 minute de lecture

Mis à jour : April 08, 2026

Offensive cybernétique : Le groupe APT28 déploie le malware PRISMEX

Le groupe de cyberespionnage russe APT28 (également connu sous les noms de Forest Blizzard ou Pawn Storm) mène une campagne persistante visant l’Ukraine et ses alliés de l’OTAN. Cette opération se distingue par l’utilisation d’une suite malveillante inédite baptisée PRISMEX et par une capacité de réaction rapide à l’exploitation de vulnérabilités « zero-day ».

Points clés :

Objectifs stratégiques : La campagne cible les infrastructures critiques (rail, maritime, météorologie, défense) et les partenaires logistiques liés aux initiatives de munition en Europe.
Mode opératoire : Utilisation d’attaques par hameçonnage (spear-phishing) en deux étapes, combinant stéganographie (dissimulation de code dans des images), détournement de COM (Component Object Model) et services cloud légitimes pour le pilotage (C2).
Double finalité : Au-delà de l’espionnage, le groupe a démontré une capacité de sabotage destructeur via des commandes « wiper » supprimant les fichiers utilisateurs.
Enchaînement d’attaques : Le groupe combine deux vulnérabilités pour contourner les protections de sécurité et exécuter des charges utiles sans alerte utilisateur.

Vulnérabilités exploitées :

CVE-2026-21509 : Utilisée pour forcer le système de la victime à récupérer un fichier malveillant.
CVE-2026-21513 : Exploitée pour contourner les fonctionnalités de sécurité Windows et permettre l’exécution de payloads.

Composants de PRISMEX :

PrismexSheet : Dropper Excel utilisant des macros VBA pour extraire des charges utiles.
PrismexDrop : Dropper natif assurant la persistance via des tâches planifiées.
PrismexLoader : Proxy DLL exécutant les charges utiles directement en mémoire via un algorithme spécifique.
PrismexStager : Implant basé sur le framework Covenant utilisant le stockage cloud Filen.io pour le command-and-control.

Recommandations :

Gestion des correctifs : Appliquer immédiatement les mises à jour de sécurité Microsoft pour neutraliser l’exploitation des CVE identifiées.
Surveillance réseau : Surveiller les communications sortantes vers des services de stockage cloud inhabituels et détecter l’utilisation suspecte de fichiers LNK ou de macros Office.
Sécurité des terminaux : Restreindre l’exécution de macros et surveiller les comportements anormaux liés au détournement de DLL ou aux tâches planifiées créées par des processus non autorisés.
Politique de sauvegarde : Maintenir des sauvegardes hors ligne robustes pour contrer les capacités de sabotage destructrices observées chez cet acteur.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

APT28 Deploys PRISMEX Malware in Campaign Targeting Ukraine and NATO Allies

Offensive cybernétique : Le groupe APT28 déploie le malware PRISMEX

Partager sur

Vous pourriez aimer

TeamPCP Supply Chain Campaign: Update 007 - Cisco Source Code Stolen via Trivy-Linked Breach, Google GTIG Tracks TeamPCP as UNC6780, and CISA KEV Deadline Arrives with No Standalone Advisory, (Wed, Apr 8th)

Campagne de supply chain TeamPCP (UNC6780) : Analyse et État des Lieux

Snowflake customers hit in data theft attacks after SaaS integrator breach

Compromission de la chaîne d’approvisionnement : Fuites de données via Anodot

Shrinking the IAM Attack Surface through Identity Visibility and Intelligence Platforms (IVIP)

Réduire la surface d’attaque IAM par l’observabilité des identités

Python Supply-Chain Compromise

Compromission de la chaîne d’approvisionnement Python : Le cas LiteLLM