Pesquisadores de segurança identificaram uma campanha de spear‐phishing vinculada ao grupo conhecido como APT28 (também referenciado como Pawn Storm ou Forest Blizzard) que está usando uma suíte de malware até agora não documentada, batizada pelos analistas como PRISMEX. A operação, que, de acordo com os relatórios, tem ativa desde pelo menos setembro de 2025, combina técnicas pouco habituais - como estaganografia avançada para ocultar código dentro de imagens - com subversão de mecanismos de persistência do Windows e abuso de serviços legítimos na nuvem para controle remoto.
Segundo o trabalho técnico difundido pela comunidade de resposta, PRISMEX não é um único binário, mas um conjunto orquestrado de componentes que trabalham em cadeia. Os atacantes iniciam a intrusão por e-mails dirigidos que induzem a vítima a abrir documentos ou atalhos (.LNK) manipulados. A partir daí, a operação aproveita falhas de segurança de dia zero e técnicas de execução em memória para evitar alertas e assinaturas tradicionais, e termina desenvolvendo tanto ferramentas de espionagem como implantados com capacidade destrutiva.
Um dos traços que chamou a atenção das equipes de resposta é a velocidade com que APT28 lançou exploits contra duas vulnerabilidades recém-descobertas, registradas como CVE-2026-21509 e CVE-2026-21513. A infraestrutura preparatória para um desses ataques apareceu em 12 de janeiro de 2026, exatamente duas semanas antes da primeira vulnerabilidade ser publicada publicamente, sugerindo acesso prévio a informações ou análises próprias sobre falhas. Pesquisas paralelas indicaram ainda que um exploit baseado em acessos diretos do Windows (.LNK) foi subido a repositórios públicos como VírusTotal no final de janeiro de 2026, antes de a Microsoft libertar seu adesivo no ciclo de atualizações de fevereiro de 2026, o que reforça a hipótese de exploração de zero dias por parte do ator.
Esse padrão temporário e certas coincidências na infraestrutura — por exemplo o domínio wellnesscaremed[.]com relacionado com campanhas que exploram ambas as vulnerabilidades – levaram os analistas a levantar um modelo de ataque em duas etapas: a primeira falha obriga o sistema vítima a baixar um .LNK malicioso, e esse atalho aproveita a segunda vulnerabilidade para contornar mecanismos de proteção e executar cargas úteis sem notificação ao usuário. Para detalhes sobre os avisos de adesivos e o seguimento de vulnerabilidades, consultar a base de dados pública do CVE e os guias de segurança dos fabricantes, onde são documentados os adesivos e mitigações disponíveis ( Microsoft Security Update Guide).
Quanto à descarga e execução de cargas úteis, o PRISMEX usa uma mistura de artefatos: documentos do Excel com macros que extraem binários ocultos mediante técnicas esteganográficas; droppers nativos que preparam o ambiente e estabelecem persistência com tarefas programadas e sequestro de DLLs COM; e um loader que reconstrue um payload .NET fragmentado dentro da estrutura de uma imagem PNG mediante um algoritmo proprietário descrito pelos pesquisadores como "Bit Plane Round Robin", executando-o em memória para reduzir sua pegada em disco. Um módulo específico atua como stager e abusa de um serviço de armazenamento na nuvem para comunicações de comando e controle, o que dificulta a detecção ao misturar-se com tráfego legítimo.
Os nomes que estão aparecendo nas análises —PrismexSheet para o dropper baseado no Excel, PrismexDrop para o instalador nativo, PrismexLoader (ou PixyNetLoader) para o extrator em memória e PrismexStager para o componente que liga ao C2 na nuvem — são a forma como os pesquisadores diferenciam as peças desta cadeia. Os documentos señuelo costumam conter conteúdos aparentemente inocuos – os analistas viram decoys relacionados com inventários e preços de drones – que persuadem o usuário a ativar macros e ativar a fase de carga.
Outro elemento relevante na campanha é o uso do framework de código aberto Covenant como base para algumas cargas de comando e controle. A CERT-UA já tinha assinalado em 2025 a utilização dessa família de ferramentas por parte de atores alinhados com a Rússia, e relatórios posteriores documentaram como variantes do agente (conhecidas como “grunt” em certos ecossistemas) foram modificadas para integrar funcionalidades de coleta e, pelo menos, um incidente observado em outubro de 2025, para executar comandos que eliminam arquivos sob a pasta de usuário, comportamento próprio de um wiper. Esse duplo vetor — espionagem e capacidade de sabotagem — é um dos motivos pelos quais os responsáveis pela ciberdefesa chamam a atenção para este ator.
A geografia dos objectivos confirma um padrão estratégico: além de múltiplos organismos estatais ucranianos (incluindo entidades executivas centrais, serviços meteorológicos, defesa e emergências), a campanha alcançou atores em países aliados e colaboradores, com impactos reportados em setores de logística ferroviária na Polónia, transporte marítimo na Roménia e Eslovénia, operadores na Turquia e apoios logísticos relacionados com iniciativas de munição na Eslováquia e na República Checa. O objectivo aparente não se limita ao roubo de informações, mas parece orientado para comprometer cadeias de fornecimento, capacidades operacionais e rotas humanitárias que sustentam os esforços no terreno.
Algumas peças desta operação já haviam sido descritas por outros laboratórios de ameaças; por exemplo, Zscaler documentou aspectos da atividade com o apelido Operation Neusploit, e diferentes equipamentos de resposta foram traçando a evolução das ferramentas e das infra-estruturas utilizadas. As análises públicas e as bases de dados de inteligência recomendam prestar especial atenção a indicadores como o aparecimento de arquivos .LNK suspeitos, documentos ofimáticos com macros que extraem recursos ocultos, padrões incomuns de descarga desde domínios aparentemente benignos e comunicações com serviços de armazenamento na nuvem que não se encaixam com a atividade normal do usuário.
Para os equipamentos de segurança que gerem infra-estruturas críticas e organizações com ligações a cadeias logísticas e defesa, as lições são claras: rapidamente as vulnerabilidades conhecidas, implantar controles que bloqueem a execução de .LNK e macros não autorizadas, monitorar o uso de COM e a carga de DLLs a partir de rotas incomuns, e aplicar telemetria centrada em detectar esteganografia e execuções em memória. Além disso, é imprescindível segmentar o acesso a serviços na nuvem e habilitar deteções que identifiquem padrões de exfiltração encoberta para repositórios externos.
Em suma, o aparecimento do PRISMEX e a rapidez com que o APT28 integrou erros recentemente descobertos em cadeias de ataque mostram que os grupos avançados continuam a definir a sua capacidade de operar em silêncio e com dupla finalidade: extrair inteligência e, se lhes convém, causar danos operacionais. A combinação de técnicas inovadoras e o abuso de serviços públicos ou comerciais fazem com que a defesa tenha de se adaptar com controlos mais proactivos e uma colaboração mais estreita entre fornecedores, equipamentos de resposta e autoridades.
Fontes e leituras recomendadas: análises técnicas e avisos de fabricantes e centros de resposta fornecem detalhes e atualizações contínuas, incluindo páginas de pesquisa de empresas de segurança e repositórios públicos de vulnerabilidades ( Trend Micro Research), a base de dados do CVE do NIST ( NVD), avisos e guias do fornecedor ( Microsoft Security Response Center), e relatórios de outros laboratórios como Zscaler ThreatLabz e análise de infraestrutura em blogs técnicos e equipamentos como Akamai. Para compreender a ferramenta C2 que aparece em vários relatórios, você também pode consultar o repositório de Covenant, e para informações sobre serviços usados como plataforma de C2, o site do fornecedor ( Filen) oferece contexto sobre seus serviços públicos.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...