«Русских хакеров» обвинили в атаках против Украины и стран НАТО с применением вредоносного набора PRISMEX
Изображение: recraft
Русскоязычная хакерская группа APT28, известная также как Forest Blizzard и Pawn Storm, запустила новую фишинговую кампанию против Украины и стран НАТО с применением ранее не задокументированного вредоносного набора PRISMEX.
Специалисты Trend Micro Фейке Хаккеборд и Хироюки Какахара установили, что активность фиксируется минимум с сентября 2025 года, а сам инструментарий сочетает стеганографию, перехват COM-объектов и управление через легитимные облачные сервисы. По охвату и технической сложности аналитики называют эту кампанию одной из наиболее продвинутых за последнее время.
На Украине под удар попали госструктуры, службы экстренного реагирования, оборонный сектор и гидрометеорология. В Европе целями стали логистические и транспортные компании, морские перевозчики и участники цепочек поставок, связанных с военной поддержкой, а также партнёры НАТО и военные структуры.
Злоумышленники оперативно задействовали уязвимости CVE-2026-21509 и CVE-2026-21513 — подготовка инфраструктуры началась 12 января 2026 года, за 14 дней до публичного раскрытия первой из них. Akamai ранее сообщала, что CVE-2026-21513 применялась как уязвимость нулевого дня — вредоносный LNK-файл появился на VirusTotal 30 января, тогда как патч от Microsoft вышел только 10 февраля. Совпадение доменной инфраструктуры в обоих случаях указывает на то, что уязвимости объединены в единую цепочку, где первая инициирует загрузку вредоносного LNK-файла, а вторая обходит защитные механизмы и запускает код без уведомления пользователя.
Финальная нагрузка зависит от цели. В одних случаях разворачивается MiniDoor — инструмент для кражи данных из Outlook. В других — полный набор PRISMEX из нескольких взаимосвязанных компонентов. Название отсылает к стеганографии, где полезная нагрузка прячется в изображениях, что серьёзно затрудняет обнаружение средствами стандартной защиты.
