Um novo movimento no cenário de ciberespionagem internacional acendeu alertas entre especialistas em segurança. O grupo hacker russo APT28, também conhecido como Forest Blizzard e Pawn Storm, foi associado a uma campanha sofisticada de ataques direcionados contra a Ucrânia e países aliados da OTAN. A operação utiliza um conjunto inédito de malwares chamado PRISMEX, projetado para espionagem avançada e possível sabotagem.

De acordo com análises conduzidas pela Trend Micro, a campanha está ativa desde pelo menos setembro de 2025 e tem como alvos setores críticos, incluindo órgãos governamentais, defesa, logística ferroviária, transporte marítimo e até serviços meteorológicos — áreas diretamente ligadas à infraestrutura estratégica e ao suporte operacional em cenários de conflito.

O ataque começa com campanhas de spear phishing altamente direcionadas, explorando vulnerabilidades recentes como CVE-2026-21509 e CVE-2026-21513. Em alguns casos, evidências indicam que o grupo já explorava essas falhas como zero-day antes mesmo de sua divulgação oficial, demonstrando um nível elevado de capacidade técnica e acesso antecipado a vulnerabilidades críticas.

A cadeia de ataque é estruturada em múltiplas etapas. Inicialmente, uma falha força o sistema da vítima a baixar um arquivo malicioso no formato .LNK, que posteriormente explora outra vulnerabilidade para contornar mecanismos de segurança e executar códigos sem alertas ao usuário. Esse encadeamento reforça o uso de técnicas modernas de exploração combinada, aumentando significativamente a taxa de sucesso dos ataques.

No estágio final, o PRISMEX entra em ação. O malware utiliza esteganografia para ocultar cargas maliciosas dentro de imagens aparentemente legítimas, além de empregar técnicas como hijacking de COM e abuso de serviços legítimos de cloud para comunicação com servidores de comando e controle. Essa abordagem dificulta a detecção por soluções tradicionais de segurança.

O conjunto PRISMEX é composto por diferentes módulos, incluindo loaders, droppers e stagers, que operam de forma coordenada. Entre eles, destaca-se o uso do framework de comando e controle COVENANT, amplamente utilizado por grupos avançados. Em alguns casos, os ataques também envolvem o roubo de e-mails via Outlook e até a execução de comandos destrutivos capazes de apagar arquivos do sistema da vítima.

Esse comportamento híbrido — combinando espionagem com potencial de destruição — reforça a hipótese de que a campanha não se limita à coleta de informações, mas também busca impactar operações críticas. O foco em cadeias de suprimento, rotas logísticas e serviços de suporte à Ucrânia sugere uma estratégia mais ampla de desestabilização.

A análise também aponta conexões com campanhas anteriores, como a chamada Operation Neusploit, indicando evolução contínua das técnicas utilizadas pelo grupo. A utilização de serviços em nuvem legítimos para comunicação maliciosa e a sofisticação na ocultação de payloads evidenciam um avanço significativo na evasão de mecanismos de defesa.

O cenário reforça o papel crescente da cibersegurança como componente estratégico em conflitos geopolíticos, onde ataques digitais são utilizados não apenas para espionagem, mas também como ferramentas de influência e interrupção operacional.