Des chercheurs en sécurité ont identifié une campagne de phishing de vitesse liée au groupe connu sous le nom APT28 (également appelé Pawn Storm ou Forest Blizzard) qui utilise une suite de logiciels malveillants sans papiers, nommé par des analystes comme PRISMEX. L'opération, qui aurait été active depuis au moins septembre 2025, combine des techniques inhabituelles - comme la stéganographie avancée pour cacher le code dans les images - avec la subversion des mécanismes de persistance de Windows et l'abus de services en nuage légitimes pour la télécommande.
Selon le travail technique diffusé par la communauté de réponse, PRISMEX n'est pas un seul binaire, mais un ensemble orchestré de composants qui fonctionnent dans une chaîne. Les attaquants commencent l'intrusion au moyen de courriels dirigés qui incitent la victime à ouvrir des documents ou des raccourcis (.LNK) manipulés. De là, l'opération profite des techniques de sécurité et d'exécution de mémoire de zéro jour pour éviter les alertes et signatures traditionnelles, et finit par déployer à la fois des outils d'espionnage et des implants avec une capacité de destruction.
L'une des caractéristiques qui a attiré l'attention des équipes d'intervention est la vitesse avec laquelle APT28 a lancé exploite contre deux vulnérabilités nouvellement découvertes, enregistrées comme CVE-2026-21509 et CVE-2026-21513. L'infrastructure préparatoire à l'une de ces attaques est apparue le 12 janvier 2026, exactement deux semaines avant la publication de la première vulnérabilité, suggérant un accès préalable à ses propres informations ou analyses sur les échecs. Des enquêtes parallèles ont en outre indiqué qu'une explosion basée sur l'accès direct à Windows (.LNK) a été téléchargée dans des dépôts publics tels que VirusTotal fin janvier 2026, avant que Microsoft ne publie son patch dans le cycle de mise à jour de février 2026, ce qui renforce l'hypothèse d'exploitation de l'acteur zéro jour.
Ce schéma temporel et certaines coïncidences dans les infrastructures - par exemple le domaine Bien-être assuré [.] com liés à des campagnes qui exploitent les deux vulnérabilités - ils ont conduit les analystes à proposer un modèle d'attaque en deux étapes: le premier échec oblige le système victime à télécharger un .LNK malveillant, et ce raccourci profite de la deuxième vulnérabilité pour éviter des mécanismes de protection et exécuter des charges utiles sans notification à l'utilisateur. Pour en savoir plus sur les avis de patch et la surveillance de la vulnérabilité, consultez la base de données publique du CVE et les guides de sécurité des fabricants, où les patchs disponibles et les mesures d'atténuation sont documentés ( Guide de mise à jour de sécurité de Microsoft).
Quant au déchargement et à l'exécution des charges utiles, PRISMEX utilise un mélange d'artefacts : Documents Excel avec des macros qui extraient des binaires cachés à l'aide de techniques stéganographiques; des goutteuses natives qui préparent l'environnement et établissent la persistance avec des tâches programmées et l'enlèvement de DLs COM; et un chargeur qui reconstruit une charge utile fragmentée. NET dans la structure d'une image PNG par un algorithme propriétaire décrit par les chercheurs comme "Bit Planet Round Robin", l'exécuter en mémoire pour réduire son empreinte disque. Un module spécifique agit comme gestionnaire et abuse d'un service de stockage en nuage pour les communications de commande et de contrôle, ce qui rend difficile la détection en mélangeant avec le trafic légitime.
Les noms qui apparaissent dans l'analyse - PrismexSheet pour le dropper basé sur Excel, PrismexDrop pour l'installateur natif, PrismexLoader (ou PixyNetLoader) pour l'extracteur de mémoire et PrismexStager pour le composant qui se connecte au C2 dans le nuage - sont la façon dont les chercheurs distinguent les morceaux de cette chaîne. Les documents de leurres contiennent généralement un contenu apparemment inoffensif - les analystes ont vu des leurres liés aux stocks et aux prix des drones - qui persuadent l'utilisateur d'activer les macros et d'activer la phase de chargement.
Un autre élément pertinent de la campagne est l'utilisation du cadre open source Pacte comme base pour certaines charges de commande et de contrôle. CERT-UA avait déjà souligné en 2025 l'utilisation de cette famille d'outils par des acteurs alignés avec la Russie, et des rapports ultérieurs ont documenté comment des variantes de l'agent (connu comme "grunt" dans certains écosystèmes) ont été modifiées pour intégrer des fonctions de collecte et, dans au moins un incident observé en octobre 2025, exécuter des commandes qui suppriment des fichiers sous le répertoire utilisateur, comportement d'un essuie-glaces. Ce double vecteur - espionnage et sabotage - est l'une des raisons pour lesquelles les leaders de la cyberdéfense attirent l'attention sur cet acteur.
La géographie des objectifs confirme un schéma stratégique: en plus de plusieurs organismes publics ukrainiens (y compris les entités centrales, les services météorologiques, la défense et les urgences), la campagne a atteint des acteurs dans les pays partenaires et partenaires, avec des impacts signalés sur les secteurs de la logistique ferroviaire en Pologne, le transport maritime en Roumanie et en Slovénie, les opérateurs en Turquie et le soutien logistique lié aux initiatives municipales en Slovaquie et en République tchèque. L'objectif apparent ne se limite pas au vol d'informations, mais semble avoir pour but de compromettre les chaînes d'approvisionnement, les capacités opérationnelles et les itinéraires humanitaires qui soutiennent les efforts sur le terrain.
Certaines parties de cette opération avaient déjà été décrites par d'autres laboratoires de menaces; par exemple, Zscaler documentait des aspects de l'activité avec le surnom Opération Neusploit et différentes équipes d'intervention ont suivi l'évolution des outils et de l'infrastructure utilisés. Les bases de données publiques d'analyse et de renseignement recommandent d'accorder une attention particulière à des indicateurs tels que l'apparition de suspects . Fichiers LNK, documents de bureau avec macros qui extrait des ressources cachées, modèles de téléchargement inhabituels de domaines apparemment bénins et communications avec des services de stockage en nuage qui ne correspondent pas à l'activité normale de l'utilisateur.
Pour les équipes de sécurité qui gèrent les infrastructures essentielles et les organisations ayant des liens avec les chaînes de logistique et de défense, les enseignements sont clairs : Corriger rapidement les vulnérabilités connues, déployer des contrôles qui bloquent l'exécution de . LNK et macros non autorisées, surveillent l'utilisation de COM et la charge des DL à partir de routes inhabituelles, et appliquent la télémétrie axée sur la détection de la stéganographie et des exécutions de mémoire. De plus, il est essentiel de ségaliser l'accès aux services cloud et de permettre des détections qui identifient les profils d'exfiltration cachée vers les dépôts externes.
En bref, l'apparition de PRISMEX et la vitesse avec laquelle APT28 a intégré des défaillances nouvellement découvertes dans des chaînes d'attaque montrent que les groupes avancés continuent d'affiner leur capacité d'opérer en silence et dans un double but : extraire des renseignements et, le cas échéant, causer des dommages opérationnels. La combinaison de nouvelles techniques et l'abus de services publics ou commerciaux obligent à adapter la défense avec des contrôles plus proactifs et une collaboration plus étroite entre les fournisseurs, les équipes d'intervention et les autorités.
Sources et lectures recommandées: les analyses techniques et les avis des fabricants et des centres d'intervention fournissent des informations et des mises à jour continues, y compris les pages de recherche des entreprises de sécurité et des dépôts publics de vulnérabilité ( Tendance Micro Recherche), la base de données NIST CVE ( NVD), avis et guides du fournisseur ( Centre de réponse de sécurité de Microsoft) et les rapports d'autres laboratoires tels que Zscaler MenaceLabz et l'analyse de l'infrastructure dans les blogs et équipements techniques Akamai. Pour comprendre l'outil C2 dans plusieurs rapports, Pacte et pour des informations sur les services utilisés comme plate-forme C2, le site du fournisseur ( Fichier) fournit le contexte de ses services publics.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...