APT28 Lancia il Malware PRISMEX in una Campagna contro Ucraina e Alleati della NATO Un gruppo di hacker russi noto come APT28, conosciuto anche come Forest Blizzard o Pawn Storm, ha avviato una nuova campagna di attacchi mirati, utilizzando un…
APT28 Lancia il Malware PRISMEX in una Campagna contro Ucraina e Alleati della NATO
Un gruppo di hacker russi noto come APT28, conosciuto anche come Forest Blizzard o Pawn Storm, ha avviato una nuova campagna di attacchi mirati, utilizzando un malware finora sconosciuto chiamato PRISMEX. La strategia di attacco si basa sulla tecnica del phishing mirato e si rivolge non solo all’Ucraina, ma anche ai suoi alleati, inclusi vari enti governativi e settori strategici.
Tecniche e Obiettivi dell’Attacco
Secondo i ricercatori di Trend Micro, PRISMEX combina sofisticate tecniche di steganografia, sfruttamento delle vulnerabilità dei file di Microsoft e abuso di servizi cloud legittimi per il controllo remoto. Gli studi indicano che questa campagna è attiva da almeno settembre 2025. Gli attaccanti hanno scelto come obiettivi vari comparti in Ucraina, tra cui istituzioni governative, servizi meteorologici, difesa e logistica, così come partner militari nella NATO e nel settore trasporti in paesi come Romania e Polonia.
L’allerta viene anche lanciata per quanto riguarda l’utilizzo delle vulnerabilità appena scoperte. Tra queste, due in particolare, CVE-2026-21509 e CVE-2026-21513, sono state utilizzate per violare sistemi prima della loro divulgazione pubblica. Il fatto che APT28 potesse avere accesso a queste vulnerabilità prima della loro scoperta ufficiale implica una pianificazione strategica avanzata e un’abilità notevole nel sfruttare le falle di sicurezza.
Malware PRISMEX: Una Può Diuturna Minaccia
Il malware PRISMEX si compone di diversi sottocomponenti ingegnosi. Tra questi troviamo:
- PrismexSheet: un dropper maligno di file Excel che utilizza macro VBA per estrarre payloads da file immagine, presentando al contempo un documento fasullo appartenente a una lista di droni.
- PrismexDrop: un dropper nativo che prepara il sistema per lo sfruttamento successivo, impiegando tecniche di persistenza.
- PrismexLoader (o PixyNetLoader): un DLL proxy che estrae il payload successivo da un’immagine PNG utilizzando un algoritmo specifico e lo esegue in memoria.
- PrismexStager: un impianto che sfrutta il servizio di cloud storage Filen.io per ricevere comandi e controlli.
Queste tecniche suggeriscono una crescente complessità nelle operazioni di APT28, evidenziando un’evoluzione delle capacità attaccanti che potrebbe allertare altre nazioni, inclusa l’Italia, riguardo le minacce al cyber-spionaggio e alla sicurezza.
Conclusioni e Impatti Futuri
Le attività di APT28 dimostrano chiaramente come il gruppo continui a rappresentare una minaccia seria e persistente, non solo per l’Ucraina ma per tutti i membri della NATO. In un contesto di crescente tensione geopolitica, la sicurezza informatica deve diventare una priorità anche per le aziende italiane che operano in settori sensibili, come quello della difesa e della logistica.
La strategia di attacco diretta verso le catene di approvvigionamento e i servizi essenziali di supporto all’Ucraina indica un cambiamento verso azioni più distruttive, il che prefigura scenari sempre più incerti. Le organizzazioni dovrebbero considerare l’adozione di misure preventive e investire in tecnologie di sicurezza per mitigare il rischio di attacchi informatici come quelli perpetrati da APT28.
