Trend Micro研究员Feike Hacquebord和Hiroyuki Kakara在技术报告中指出,PRISMEX结合高级隐写术、COM劫持以及合法云服务滥用来实现命令控制。攻击瞄准乌克兰中央执行机构、水文气象、国防和应急服务部门,还波及波兰铁路物流、罗马尼亚斯洛文尼亚土耳其的海事运输、斯洛伐克捷克的弹药后勤支持,以及北约军事伙伴。链上数据显示,基础设施准备工作发生在2026年1月12日,正好是CVE-2026-21509漏洞公开披露前两周。Akamai在2025年2月底报告显示,APT28可能已将CVE-2026-21513作为零日漏洞武器化,该LNK利用样本于2026年1月30日上传至VirusTotal,早于微软2月10日Patch Tuesday修补补丁。这套零日利用链条暗示攻击者提前获知微软漏洞细节。域名wellnesscaremed[.]com在两漏洞利用活动中重叠,Trend Micro推测攻击者串联CVE-2026-21509和CVE-2026-21513,形成两阶段链条:首漏洞迫使系统拉取恶意LNK文件,后者绕过安全机制无声执行载荷。最终部署MiniDoor Outlook邮件窃取器,或PRISMEX组件集合,后者以图像文件藏匿载荷命名。 PRISMEX包括PrismexSheet恶意Excel掉落器,内嵌VBA宏用隐写术提取载荷,通过COM劫持持久化,启用宏后弹出无人机库存和价格伪造文档。PrismexDrop原生掉落器准备环境,用计划任务和COM DLL劫持维持存在。PrismexLoader代理DLL从PNG图像"SplashScreen.png"分散结构中用"Bit Plane Round Robin"算法抽取下一阶段.NET载荷,全内存运行。PrismexStager基于COVENANT Grunt植入,利用Filen.io云存储作C2通道。乌克兰CERT-UA在2025年6月首曝APT28用开源C2框架COVENANT。Zscaler ThreatLabz先前记录部分活动为Operation Neusploit。PrismexStager扩展自MiniDoor和NotDoor后门,后者于2025年底部署。2025年10月一事件中,COVENANT Grunt载荷不仅窃密,还执行wiper命令抹除%USERPROFILE%下所有文件。这种双重功能强化间谍加破坏假设。攻击者快速武器化新漏洞,暴露俄系入侵组对供应链和运营规划的战略打压意图。 Trend Micro评估,此操作凸显Pawn Storm作为俄方最激进入侵组之一。目标转向乌克兰补给链、气象服务和人道走廊,意在扰乱行动,可能预示更猛破坏。APT28别名Forest Blizzard和Pawn Storm,常与俄情报机构挂钩,这次行动延续其对乌克兰及盟友的网络骚扰传统。微软漏洞情报显示,类似零日链条让防御者措手不及,企业需急补CVE-2026-21509和CVE-2026-21513,同时监控COM劫持和图像隐写迹象。云服务Filen.io滥用提醒安全团队审视合法平台风险。乌克兰及北约伙伴正值地缘紧张,此类攻击加剧后勤压力,防御窗口正缩小。