Investigadores de seguridad han identificado una campaña de spear‑phishing vinculada al grupo conocido como APT28 (también referenciado como Pawn Storm o Forest Blizzard) que está usando una suite de malware hasta ahora no documentada, bautizada por los analistas como PRISMEX. La operación, que según los reportes lleva activa desde al menos septiembre de 2025, combina técnicas poco habituales —como esteganografía avanzada para ocultar código dentro de imágenes— con subversión de mecanismos de persistencia de Windows y abuso de servicios legítimos en la nube para el control remoto.
Según el trabajo técnico difundido por la comunidad de respuesta, PRISMEX no es un único binario, sino un conjunto orquestado de componentes que trabajan en cadena. Los atacantes inician la intrusión mediante correos dirigidos que inducen a la víctima a abrir documentos o atajos (.LNK) manipulados. A partir de ahí, la operación aprovecha fallos de seguridad de día cero y técnicas de ejecución en memoria para evitar alertas y firmas tradicionales, y termina desplegando tanto herramientas de espionaje como implantados con capacidad destructiva.
Uno de los rasgos que ha llamado la atención de los equipos de respuesta es la velocidad con la que APT28 puso en marcha exploits contra dos vulnerabilidades recién descubiertas, registradas como CVE-2026-21509 y CVE-2026-21513. La infraestructura preparatoria para uno de esos ataques apareció el 12 de enero de 2026, exactamente dos semanas antes de que la primera vulnerabilidad fuera publicada públicamente, lo que sugiere un acceso previo a la información o análisis propios sobre las fallas. Investigaciones paralelas indicaron además que un exploit basado en accesos directos de Windows (.LNK) fue subido a repositorios públicos como VirusTotal a finales de enero de 2026, antes de que Microsoft liberara su parche en el ciclo de actualizaciones de febrero de 2026, lo que refuerza la hipótesis de explotación de cero días por parte del actor.
Ese patrón temporal y ciertas coincidencias en la infraestructura —por ejemplo el dominio wellnesscaremed[.]com relacionado con campañas que explotan ambas vulnerabilidades— han llevado a los analistas a plantear un modelo de ataque en dos etapas: la primera falla obliga al sistema víctima a descargar un .LNK malicioso, y ese atajo aprovecha la segunda vulnerabilidad para eludir mecanismos de protección y ejecutar cargas útiles sin notificación al usuario. Para detalles sobre los avisos de parches y el seguimiento de vulnerabilidades puede consultarse la base de datos pública de CVE y las guías de seguridad de los fabricantes, donde se documentan los parches y mitigaciones disponibles (Microsoft Security Update Guide).
En cuanto a la descarga y ejecución de cargas útiles, PRISMEX utiliza una mezcla de artefactos: documentos de Excel con macros que extraen binarios ocultos mediante técnicas esteganográficas; droppers nativos que preparan el entorno y establecen persistencia con tareas programadas y secuestro de DLLs COM; y un loader que reconstruye un payload .NET fragmentado dentro de la estructura de una imagen PNG mediante un algoritmo propietario descrito por los investigadores como “Bit Plane Round Robin”, ejecutándolo en memoria para reducir su huella en disco. Un módulo específico actúa como stager y abusa de un servicio de almacenamiento en la nube para las comunicaciones de comando y control, lo que dificulta la detección al mezclarse con tráfico legítimo.
Los nombres que están apareciendo en los análisis —PrismexSheet para el dropper basado en Excel, PrismexDrop para el instalador nativo, PrismexLoader (o PixyNetLoader) para el extractor en memoria y PrismexStager para el componente que conecta con el C2 en la nube— son la forma en que los investigadores diferencian las piezas de esta cadena. Los documentos señuelo suelen contener contenidos aparentemente inocuos —los analistas han visto decoys relacionados con inventarios y precios de drones— que persuaden al usuario a habilitar macros y activar la fase de carga.
Otro elemento relevante en la campaña es el uso del framework de código abierto Covenant como base para algunas cargas de comando y control. CERT‑UA ya había señalado en 2025 la utilización de esa familia de herramientas por parte de actores alineados con Rusia, y reportes posteriores han documentado cómo variantes del agente (conocidas como “grunt” en ciertos ecosistemas) han sido modificadas para integrar funcionalidades de recolección y, en al menos un incidente observado en octubre de 2025, para ejecutar comandos que eliminan ficheros bajo el directorio de usuario, comportamiento propio de un wiper. Ese doble vector —espionaje y capacidad de sabotaje— es uno de los motivos por los que los responsables de ciberdefensa llaman la atención sobre este actor.
La geografía de los objetivos confirma un patrón estratégico: además de múltiples organismos estatales ucranianos (incluyendo entidades ejecutivas centrales, servicios meteorológicos, defensa y emergencias), la campaña alcanzó actores en países aliados y colaboradores, con impactos reportados en sectores de logística ferroviaria en Polonia, transporte marítimo en Rumanía y Eslovenia, operadores en Turquía y apoyos logísticos relacionados con iniciativas de municionamiento en Eslovaquia y la República Checa. El objetivo aparente no se limita al robo de información, sino que parece orientado a comprometer cadenas de suministro, capacidades operativas y rutas humanitarias que sostienen los esfuerzos en el terreno.
Algunas piezas de esta operación ya habían sido descritas por otros laboratorios de amenazas; por ejemplo, Zscaler documentó aspectos de la actividad con el sobrenombre Operation Neusploit, y diferentes equipos de respuesta han ido trazando la evolución de las herramientas y las infraestructuras utilizadas. Los análisis públicos y las bases de datos de inteligencia recomiendan prestar especial atención a indicadores como la aparición de archivos .LNK sospechosos, documentos ofimáticos con macros que extraen recursos ocultos, patrones inusuales de descarga desde dominios aparentemente benignos y comunicaciones con servicios de almacenamiento en la nube que no encajan con la actividad normal del usuario.
Para los equipos de seguridad que gestionan infraestructuras críticas y organizaciones con vínculos a cadenas logísticas y defensa, las lecciones son claras: parchear con rapidez las vulnerabilidades conocidas, desplegar controles que bloqueen la ejecución de .LNK y macros no autorizadas, monitorizar el uso de COM y la carga de DLLs desde rutas inusuales, y aplicar telemetría centrada en detectar esteganografía y ejecuciones en memoria. Además, resulta imprescindible segmentar el acceso a servicios en la nube y habilitar detecciones que identifiquen patrones de exfiltración encubierta hacia repositorios externos.
En resumen, la aparición de PRISMEX y la rapidez con la que APT28 ha integrado fallos recién descubiertos en cadenas de ataque muestran que los grupos avanzados siguen afinando su capacidad para operar en silencio y con doble propósito: extraer inteligencia y, si les conviene, causar daños operativos. La combinación de técnicas novedosas y el abuso de servicios públicos o comerciales hacen que la defensa tenga que adaptarse con controles más proactivos y una colaboración más estrecha entre proveedores, equipos de respuesta y autoridades.
Fuentes y lecturas recomendadas: los análisis técnicos y avisos de fabricantes y centros de respuesta proporcionan detalles y actualizaciones continuas, entre ellos las páginas de investigación de empresas de seguridad y los repositorios públicos de vulnerabilidades (Trend Micro Research), la base de datos de CVE del NIST (NVD), avisos y guías del proveedor (Microsoft Security Response Center), y reportes de otros laboratorios como Zscaler ThreatLabz y análisis de infraestructuras en blogs técnicos y equipos como Akamai. Para comprender la herramienta C2 que aparece en varios informes, puede consultarse también el repositorio de Covenant, y para información sobre servicios usados como plataforma de C2, el sitio del proveedor (Filen) ofrece contexto sobre sus servicios públicos.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...