Sicherheitsforscher haben eine Speed-Phishing-Kampagne identifiziert, die mit der Gruppe bekannt als APT28 (auch als Pawn Storm oder Forest Blizzard bezeichnet) verbunden ist, die eine unbesetzte Malware-Suite verwendet, die von Analysten wie PRISMUS. Die Operation, die seit mindestens September 2025 aktiv ist, kombiniert ungewöhnliche Techniken - wie fortgeschrittene Steganographie, um Code innerhalb von Bildern zu verstecken - mit Subversion von Windows-Persistenzmechanismen und Missbrauch von legitimen Cloud-Diensten für die Fernsteuerung.
Nach der technischen Arbeit, die von der Reaktionsgemeinschaft verbreitet wird, ist PRISMEX kein einziger Binär, sondern ein orchestrierter Satz von Komponenten, die in einer Kette arbeiten. Die Angreifer starten die Intrusion durch gerichtete E-Mails, die das Opfer auf offene Dokumente oder Shortcuts (.LNK) manipulieren. Von dort aus nutzt die Operation die Zero-Day-Sicherheits- und Speicherausführung Techniken, um traditionelle Warnungen und Signaturen zu vermeiden, und endet die Bereitstellung von beiden Spionagewerkzeugen und implantiert mit destruktiver Kapazität.
Eines der Merkmale, die die Aufmerksamkeit der Antwortteams auf sich gezogen hat, ist die Geschwindigkeit, mit der APT28 Exploits gegen zwei neu entdeckte Schwachstellen gestartet, aufgezeichnet als CVE-2026-21509 und CVE-2026-21513. Die vorbereitende Infrastruktur für einen dieser Angriffe erschien am 12. Januar 2026, genau zwei Wochen vor der Veröffentlichung der ersten Sicherheitslücke öffentlich, was den Zugang zu eigenen Informationen oder Analysen zu den Misserfolgen nahelegte. Parallele Untersuchungen ergaben ferner, dass eine Explosion auf Basis des direkten Windows-Zugriffs (.LNK) Ende Januar 2026 in öffentliche Repositories wie VirusTotal hochgeladen wurde, bevor Microsoft seinen Patch im Februar 2026 Update-Zyklus veröffentlichte, der die nulltägige Betriebshypothese des Schauspielers verstärkt.
Dieses Zeitmuster und bestimmte Übereinstimmungen in der Infrastruktur - zum Beispiel die Domain Wellnesscareed [.] com im Zusammenhang mit Kampagnen, die beide Schwachstellen ausnutzen - sie haben Analysten dazu geführt, ein zweistufiges Angriffsmodell vorzuschlagen: der erste Ausfall zwingt das Opfersystem, eine bösartige .LNK herunterzuladen, und dass die Verknüpfung die zweite Schwachstelle nutzt, um Schutzmechanismen zu vermeiden und nützliche Gebühren ohne Benachrichtigung an den Benutzer auszuführen. Nähere Informationen zu Patch-Anmerkungen und Sicherheitsüberwachung finden Sie in der CVE Public Datenbank und den Sicherheitshinweisen der Hersteller, wo verfügbare Patches und Minderungen dokumentiert werden ( Microsoft Security Update Guide)
Bei der Abgabe und Ausführung von Nutzlasten verwendet PRISMEX eine Mischung aus Artefakten: Excel-Dokumente mit Makros, die versteckte Binäre mit steganographischen Techniken extrahieren; native Droppers, die die Umwelt vorbereiten und Persistenz mit programmierten Aufgaben und Entführung von DLs COM etablieren; und ein Loader, der eine fragmentierte Nutzlast wieder aufgebaut. NET innerhalb der Struktur eines PNG-Bildes durch einen proprietären Algorithmus, der von Forschern als "Bit Planet Round Robin" beschrieben wird, läuft es im Speicher, um seine Festplatte Fußabdruck zu reduzieren. ein bestimmtes Modul als Manager und missbraucht einen Cloud-Speicherservice für die Befehls- und Steuerungskommunikation, was es schwierig macht, durch Mischen mit legitimem Verkehr zu erkennen.
Die Namen, die in der Analyse erscheinen - PrismexSheet für den Excel-basierten Dropper, PrismexDrop für den nativen Installer, PrismexLoader (oder PixyNetLoader) für den Speicherextraktor und PrismexStager für die Komponente, die mit dem C2 in der Cloud verbindet - sind die Art, wie Forscher die Stücke aus dieser Kette unterscheiden. Die Deko-Dokumente enthalten in der Regel anscheinend harmlose Inhalte - Analysten haben Dekoys im Zusammenhang mit Vorräten und Drohnen-Preisen gesehen -, die den Benutzer überreden, Makros zu aktivieren und die Ladephase zu aktivieren.
Ein weiteres relevantes Element in der Kampagne ist die Nutzung des Open Source Frameworks Covendel als Grundlage für einige Befehls- und Steuerlasten. CERT-UA hatte bereits im Jahr 2025 die Verwendung dieser Werkzeugfamilie von Akteuren, die mit Russland fluchten, aufgezeigt, und anschließende Berichte haben dokumentiert, wie Varianten des Agenten (bekannt als "Gunt" in bestimmten Ökosystemen) geändert wurden, um Sammlungsfunktionen zu integrieren und in mindestens einem im Oktober 2025 beobachteten Vorfall Befehle auszuführen, die Dateien unter dem Benutzerverzeichnis entfernen, Verhalten eines Wischers. Dieser Doppelvektor - Spionage und Sabotagekapazität - ist einer der Gründe, warum Cyber-Defense Führer auf diesen Schauspieler aufmerksam machen.
Die Geographie der Ziele bestätigt ein strategisches Muster: Neben mehreren ukrainischen staatlichen Stellen (einschließlich zentraler Exekutivorgane, meteorologische Dienste, Verteidigung und Notfälle) erreichte die Kampagne Akteure in Partner- und Partnerländern, mit berichteten Auswirkungen auf die eisenbahn-Logistik in Polen, den Seeverkehr in Rumänien und Slowenien, die Betreiber in der Türkei und logistische Unterstützung im Zusammenhang mit kommunalen Initiativen in der Slowakei und in der Tschechischen Republik. Das offensichtliche Ziel ist nicht auf den Diebstahl von Informationen beschränkt, sondern scheint darauf ausgerichtet zu sein, Lieferketten, operative Kapazitäten und humanitäre Routen, die die Bemühungen vor Ort unterstützen, zu kompromittieren.
Einige Teile dieser Operation wurden bereits von anderen Bedrohungslabors beschrieben; zscaler dokumentierte beispielsweise Aspekte der Aktivität mit dem Spitznamen Betrieb Neusploit und verschiedene Reaktionsteams haben die Entwicklung der verwendeten Werkzeuge und Infrastruktur verfolgt. Public Analysis and Intelligence Datenbanken empfehlen, besonders auf Indikatoren wie das Auftreten von verdächtigen zu achten. LNK-Dateien, Office-Dokumente mit Makros, die versteckte Ressourcen extrahieren, ungewöhnliche Download-Muster aus scheinbar gutartigen Domains und Kommunikation mit Cloud-Speicherdiensten, die nicht der normalen Aktivität des Benutzers entsprechen.
Für Sicherheitsteams, die kritische Infrastruktur und Organisationen mit Verbindungen zu Logistik- und Verteidigungsketten verwalten, sind die Lektionen klar: schnelles Patchen bekannter Schwachstellen, implementieren Steuerungen, die die Ausführung blockieren . LNK und nicht autorisierte Makros überwachen die Verwendung von COM und die Belastung von DLs aus ungewöhnlichen Routen und setzen Telemetrie auf die Erkennung von Steganographie und Speicherausführungen. Darüber hinaus ist es wichtig, den Zugang zu Cloud-Diensten zu segalisieren und Erkennungen zu ermöglichen, die verdeckte Exfiltrationsmuster zu externen Repositories identifizieren.
Kurz gesagt, das Auftreten von PRISMEX und die Geschwindigkeit, mit der APT28 neu entdeckte Versagen in Angriffsketten integriert hat, zeigen, dass fortgeschrittene Gruppen ihre Fähigkeit, in Stille und mit doppeltem Zweck zu arbeiten, weiter verfeinern: Intelligenz zu extrahieren und gegebenenfalls operative Schäden zu verursachen. Die Kombination neuer Techniken und der Missbrauch öffentlicher oder kommerzieller Dienste bedeutet, dass die Verteidigung mit einer proaktiveren Kontrolle und einer engeren Zusammenarbeit zwischen Lieferanten, Antwortteams und Behörden angepasst werden muss.
Empfohlene Quellen und Lesungen: Die technischen Analysen und Mitteilungen von Herstellern und Antwortzentren liefern kontinuierliche Details und Aktualisierungen, einschließlich der Forschungsseiten von Sicherheitsunternehmen und der öffentlichen Sicherheitsrepositorien ( Trend Micro Research), die Datenbank NIST CVE ( NVD), Hinweise und Anleitungen des Lieferanten ( Microsoft Security Response Center), und Berichte von anderen Laboratorien wie Zscaler ThreatLab und Analyse der Infrastruktur in technischen Blogs und Geräten wie Akamai. Um das C2-Tool in mehreren Berichten zu verstehen, das Repository von Covendel und für Informationen über Dienstleistungen, die als C2-Plattform verwendet werden, die Website des Lieferanten ( Datei) einen Kontext für seine öffentlichen Dienste bietet.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...