Ilustración de un ataque cibernético coordinado por grupos APT vinculados a actores estatales.

Qué es el malware PRISMEX de APT28 y cómo ataca a Ucrania y aliados

por
  • APT28, también conocido como Fancy Bear, está ejecutando una campaña de spear-phishing activa desde septiembre de 2025 contra Ucrania y naciones aliadas.
  • La operación emplea una nueva suite de malware llamada PRISMEX, que combina dropper, loader e implant basados en el framework Covenant.
  • Utiliza técnicas avanzadas de evasión como esteganografía, hijacking de COM y abuso de servicios cloud legítimos para el comando y control.
  • Los atacantes explotan vulnerabilidades de día cero, como la CVE-2026-21509, lo que sugiere un acceso privilegiado a información antes de su divulgación pública.
  • Los objetivos incluyen la cadena de suministro de defensa ucraniana, infraestructuras de transporte, servicios meteorológicos y redes de ayuda aliadas en países como Polonia y Rumanía.

malware PRISMEX APT28: El malware PRISMEX de APT28 representa la evolución más reciente de las capacidades ofensivas del grupo ruso de ciberespionaje, dirigida a socavar la resistencia ucraniana y la logística de sus aliados. Según nuestro análisis y fuentes del sector, esta campaña, activa desde el otoño de 2025, muestra un nivel de preparación y sofisticación que subraya la naturaleza persistente y adaptativa de esta amenaza avanzada.

Cómo el malware PRISMEX de APT28 infecta los sistemas objetivo

La cadena de ataque se inicia con correos de spear-phishing cuidadosamente elaborados. Estos mensajes suelen tener temáticas relacionadas con entrenamiento militar, alertas meteorológicas o contrabando de armas, diseñadas para engañar a personal de defensa, logística o ayuda humanitaria. El adjunto, un archivo RTF, aprovecha la vulnerabilidad CVE-2026-21509 para eludir controles de seguridad y forzar al sistema a conectarse a un servidor WebDAV controlado por los atacantes. malware PRISMEX APT28 es clave para entender el alcance de esta amenaza.

Este proceso descarga y ejecuta automáticamente un archivo LNK malicioso sin necesidad de interacción adicional por parte del usuario. En algunos casos, este LNK puede explotar una segunda vulnerabilidad, la CVE-2026-21513, para saltarse las protecciones del navegador y ejecutar código de forma silenciosa. Esta cadena de dos etapas está específicamente diseñada para maximizar la sigilosidad y la fiabilidad de la infección inicial. malware PRISMEX APT28 es clave para entender el alcance de esta amenaza.

Ejemplo de correo electrónico de spear-phishing con temática militar utilizado como vector de infección inicial.
Ejemplo de correo electrónico de spear-phishing con temática militar utilizado como vector de infección inicial. — Foto: FlyD vía Unsplash

Explotación de vulnerabilidades de día cero

Un dato crucial que hemos analizado es la línea temporal de la explotación. Los registros de dominio para los servidores WebDAV comenzaron el 12 de enero de 2026, dos semanas antes de que la vulnerabilidad CVE-2026-21509 se hiciera pública. Asimismo, una muestra del exploit LNK (CVE-2026-21513) apareció en VirusTotal el 30 de enero, mientras que el parche de Microsoft no se lanzó hasta el 10 de febrero. Este desfase de 11 días confirma, con alto grado de certeza, que APT28 estaba utilizando estas vulnerabilidades como día cero, lo que indica un acceso privilegiado a información sobre los fallos antes de su divulgación.

Anatomía de la suite PRISMEX: dropper, loader y stager

💡 ¿Tu empresa estaría preparada ante un ataque real? En Iberia Intelligence realizamos simulaciones de phishing personalizadas: campañas que replican ataques reales, miden la exposición humana de tu organización y forman a tu equipo para identificar y neutralizar este tipo de engaños antes de que causen un incidente real.

Una vez comprometido el sistema, los atacantes pueden desplegar los diferentes componentes del malware PRISMEX de APT28. Esta suite modular incluye PrismexDrop, PrismexLoader y PrismexStager, cada uno con una función específica en el ciclo de vida del ataque.

PrismexDrop actúa como un dropper nativo. Su función es preparar el entorno: descifra cargas útiles adicionales, deja archivos en el disco y asegura la persistencia mediante técnicas como el hijacking de componentes COM (Component Object Model) y la creación de una tarea programada que reinicia el proceso explorer.exe. Esto permite que el malware se ejecute dentro de un proceso legítimo y de confianza, mejorando significativamente su ocultación.

La técnica de esteganografía 'Bit Plane Round Robin' oculta código malicioso dentro de imágenes aparentemente inocuas.
La técnica de esteganografía ‘Bit Plane Round Robin’ oculta código malicioso dentro de imágenes aparentemente inocuas. — Foto: Mika Baumeister vía Unsplash

Esteganografía y ejecución fileless en PrismexLoader

El componente PrismexLoader es quizás el más técnicamente interesante. Se hace pasar por una DLL proxy que ejecuta código malicioso mientras imita el comportamiento legítimo del sistema. Para evadir la detección, emplea un método de esteganografía personalizado denominado «Bit Plane Round Robin». Esta técnica oculta el payload malicioso dentro de archivos de imagen, distribuyendo los datos a través del archivo para no levantar sospechas en análisis estáticos.

El payload, una vez extraído de la imagen, se ejecuta completamente en memoria mediante la carga del runtime .NET, una técnica fileless que deja huellas mínimas en el disco duro. Este enfoque representa un desafío formidable para las soluciones de seguridad tradicionales basadas en firmas.

Objetivos estratégicos e impacto de la campaña de APT28

Más allá de la sofisticación técnica, lo que define esta campaña es su claridad estratégica. Los documentos señuelo analizados por los investigadores revelan un enfoque preciso: inventarios de drones ucranianos, listas de precios de proveedores y formularios de logística militar. Los datos de víctimas sugieren un objetivo en regiones clave como Kyiv y Kharkiv, apuntando tanto a estructuras de mando como a unidades en primera línea.

El objetivo último parece ser la interrupción de la cadena de suministro de defensa y la planificación operativa de Ucrania. Sin embargo, la campaña extiende su alcance más allá de las fronteras ucranianas. Se han identificado objetivos en países aliados como Polonia, Rumanía y Eslovaquia, nodos críticos para el flujo de ayuda militar hacia Ucrania. Sectores como los servicios gubernamentales, defensa, emergencias e hidrometeorología están en el punto de mira, este último siendo vital para las operaciones con drones y artillería.

Infraestructura logística y de defensa en Ucrania, un objetivo prioritario para la recopilación de inteligencia y posible sabotaje.
Infraestructura logística y de defensa en Ucrania, un objetivo prioritario para la recopilación de inteligencia y posible sabotaje. — Foto: Artur Voznenko vía Unsplash

Comando y control a través de servicios cloud legítimos

La fase final la gestiona PrismexStager, un stager del framework Covenant altamente ofuscado. Para el comando y control (C2), el malware abusa del servicio legítimo de almacenamiento en la nube Filen.io, conocido por su cifrado extremo a extremo. Al aprovechar esta plataforma de confianza, el tráfico malicioso se camufla dentro del tráfico web cifrado normal, lo que le permite eludir fácilmente los filtros basados en reputación y las reglas de cortafuegos. Esta táctica refleja una tendencia creciente entre los grupos APT: utilizar infraestructuras limpias y servicios populares para dificultar la atribución y la detección.

Recomendaciones de defensa frente a campañas como la de PRISMEX

La atribución de esta actividad a APT28, con un alto nivel de confianza, se basa en la consistencia de sus herramientas, infraestructura y comportamientos previos. La presencia de elementos únicos como el método de esteganografía personalizado, el linaje del malware MiniDoor/NotDoor, el uso de Covenant y las técnicas de persistencia por COM hijacking refuerzan este vínculo.

Frente a amenazas de este calibre, las organizaciones en los sectores y regiones objetivo deben adoptar una postura de «asumir la brecha». Esto implica un cambio de mentalidad defensiva, pasando de confiar únicamente en indicadores estáticos (IOCs) a centrarse en la detección de anomalías de comportamiento. La rápida explotación de vulneraciones recién divulgadas subraya la importancia crítica de un programa de parcheo ágil y exhaustivo. Además, se recomienda monitorizar de cerca el tráfico de red hacia servicios de almacenamiento en la nube poco comunes en el entorno corporativo y auditar los procesos que se inician con privilegios elevados de forma inesperada.

Panel de monitorización de seguridad para detectar anomalías en el tráfico de red y comportamientos sospechosos.
Panel de monitorización de seguridad para detectar anomalías en el tráfico de red y comportamientos sospechosos. — Foto: Martin Sanchez vía Unsplash

En definitiva, la campaña del malware PRISMEX de APT28 no es solo un ejercicio de espionaje tradicional. Muestra una evolución hacia operaciones de efecto táctico, donde la recopilación de inteligencia se combina con capacidades potencialmente disruptivas. Al mapear y comprometer redes de suministro, transporte y datos meteorológicos, el grupo no solo espía, sino que se posiciona para poder sabotear el esfuerzo de defensa ucraniano en un momento de su elección. Este carácter dual exige una respuesta de ciberdefensa igualmente multifacética y proactiva.

Artículos relacionados

Recursos y fuentes oficiales:

¿Sabrían tus empleados detectar un ataque de phishing real?

En Iberia Intelligence diseñamos simulaciones de phishing y campañas de concienciación a medida. Identificamos qué equipos y perfiles son más vulnerables y reducimos el riesgo de brecha por error humano.

→ Solicita información sin compromiso

Deja un comentario