Saltar al contenido

8 de abril de 2026 • Dogalyir • 5 min de lectura

APT28 Despliega Malware PRISMEX en Campaña Dirigida a Ucrania y Aliados de la OTAN

APT28 Despliega Malware PRISMEX en Campaña Dirigida a Ucrania y Aliados de la OTAN

El grupo de amenazas avanzadas conocido como APT28, también identificado como Forest Blizzard o Pawn Storm, ha sido vinculado a una nueva campaña de spear-phishing dirigida a Ucrania y sus aliados, con el objetivo de desplegar un conjunto de malware previamente no documentado denominado PRISMEX. Según un informe técnico de Trend Micro, PRISMEX combina técnicas avanzadas como esteganografía, secuestro de componentes COM y abuso de servicios en la nube legítimos para el control y comando (C2), lo que refleja un nivel de sofisticación creciente en las operaciones cibernéticas de actores estatales.

Esta campaña, activa desde al menos septiembre de 2025, ha tenido como blanco diversos sectores en Ucrania, incluyendo organismos ejecutivos centrales, servicios hidrometeorológicos, defensa y emergencias. Además, se han identificado objetivos en países aliados como Polonia (logística ferroviaria), Rumania, Eslovenia y Turquía (sectores marítimo y de transporte), así como socios logísticos en Eslovaquia y la República Checa involucrados en iniciativas de municiones. Este patrón de ataque subraya un enfoque estratégico en la interrupción de cadenas de suministro y capacidades operativas críticas para Ucrania y la OTAN, lo que podría presagiar actividades más destructivas en el futuro.

Un aspecto notable de esta campaña es la rápida explotación de vulnerabilidades recién descubiertas, como CVE-2026-21509 y CVE-2026-21513, para comprometer objetivos de interés. La preparación de infraestructura observada el 12 de enero de 2026, exactamente dos semanas antes de que CVE-2026-21509 fuera divulgado públicamente, sugiere que APT28 tenía conocimiento avanzado de estas fallas antes de su revelación oficial. En febrero de 2025, Akamai también reportó que APT28 podría haber utilizado CVE-2026-21513 como un exploit de día cero, basado en un archivo LNK malicioso subido a VirusTotal el 30 de enero de 2026, antes de que Microsoft emitiera una corrección el 10 de febrero de 2026. Este patrón de explotación de día cero indica una capacidad de acceso privilegiado a información sobre vulnerabilidades, posiblemente a través de filtraciones o inteligencia interna.

La superposición entre campañas que explotan estas dos vulnerabilidades, incluyendo el dominio común “wellnesscaremed[.]com”, ha llevado a los investigadores a teorizar que APT28 podría estar encadenando CVE-2026-21513 y CVE-2026-21509 en un ataque de dos etapas sofisticado. Según Trend Micro, la primera vulnerabilidad fuerza al sistema de la víctima a recuperar un archivo .LNK malicioso, que luego explota la segunda vulnerabilidad para eludir características de seguridad y ejecutar cargas útiles sin advertencias al usuario. Este enfoque permite una infiltración más sigilosa y efectiva en sistemas objetivo.

Los ataques culminan en la implementación de MiniDoor, un roba-correos de Outlook, o de un conjunto de componentes de malware interconectados conocidos como PRISMEX. Este último se caracteriza por el uso de técnicas esteganográficas para ocultar cargas útiles dentro de archivos de imagen, lo que dificulta su detección por soluciones de seguridad tradicionales. Los componentes clave de PRISMEX incluyen:

  • PrismexSheet: Un dropper malicioso en Excel con macros VBA que extrae cargas útiles incrustadas en el archivo mediante esteganografía, establece persistencia a través de secuestro COM y muestra un documento señuelo relacionado con listas de inventario de drones y precios después de habilitar las macros.
  • PrismexDrop: Un dropper nativo que prepara el entorno para explotaciones posteriores y utiliza tareas programadas y secuestro de DLL COM para mantener la persistencia en el sistema comprometido.
  • PrismexLoader (también conocido como PixyNetLoader): Un DLL proxy que extrae la carga útil .NET de la siguiente etapa, dispersa a través de la estructura de un archivo PNG (“SplashScreen.png”), utilizando un algoritmo personalizado “Bit Plane Round Robin” y la ejecuta completamente en memoria, evitando la escritura en disco.
  • PrismexStager: Un implante COVENANT Grunt que abusa del almacenamiento en la nube Filen.io para el control y comando, facilitando la recopilación de información y, en algunos casos, comandos destructivos.

Vale la pena mencionar que algunos aspectos de esta campaña fueron previamente documentados por Zscaler ThreatLabz bajo el nombre de Operación Neusploit. El uso de COVENANT, un framework de C2 de código abierto, por parte de APT28 fue destacado por primera vez por el CERT-UA en junio de 2025. PrismexStager se evalúa como una expansión de MiniDoor y NotDoor (también conocido como GONEPOSTAL), un backdoor de Microsoft Outlook desplegado por el grupo a fines de 2025. En al menos un incidente en octubre de 2025, la carga útil COVENANT Grunt no solo facilitó la recopilación de información, sino que también ejecutó un comando destructivo que borra todos los archivos bajo el directorio “%USERPROFILE%”. Esta capacidad dual refuerza la hipótesis de que estas campañas podrían estar diseñadas tanto para espionaje como para sabotaje, alineándose con objetivos estratégicos más amplios.

En Dogalyir, comprendemos la importancia de mantenerse al día con las amenazas cibernéticas emergentes. Nuestras soluciones de desarrollo de software y tecnología están diseñadas para integrar prácticas de seguridad robustas, ayudando a las organizaciones a protegerse contra ataques sofisticados como los de APT28. La evolución constante de estas amenazas subraya la necesidad de enfoques proactivos en ciberseguridad, combinando innovación tecnológica con conciencia situacional para mitigar riesgos en un panorama digital cada vez más complejo.