كشفت شركة Trend Micro أن مجموعة التهديد الروسية APT28، المعروفة أيضًا باسم Forest Blizzard وPawn Storm، تقف وراء حملة تصيّد موجهة حديثة تستهدف أوكرانيا وحلفائها عبر نشر برمجية خبيثة غير موثقة سابقًا تحمل اسم PRISMEX. الحملة، التي بدأت منذ سبتمبر 2025 على الأقل، تجمع بين تقنيات متقدمة مثل الإخفاء داخل الصور (Steganography)، اختطاف مكونات COM، واستغلال خدمات سحابية شرعية لأغراض التحكم والسيطرة.
القطاعات المستهدفة
الهجمات ركزت على قطاعات حيوية في أوكرانيا مثل الهيئات التنفيذية المركزية، الدفاع، خدمات الطوارئ، والأرصاد الجوية، إضافة إلى قطاعات النقل واللوجستيات في بولندا ورومانيا وسلوفينيا وتركيا، ودعم الإمداد العسكري في سلوفاكيا والتشيك، فضلًا عن شركاء عسكريين وحلف الناتو.
استغلال ثغرات يوم الصفر
الحملة تميزت بسرعة استغلال ثغرات جديدة مثل CVE-2026-21509 وCVE-2026-21513، حيث أُعدت البنية التحتية للهجوم قبل أسبوعين من الكشف العلني عن الأولى. تشير الأدلة إلى أن المهاجمين امتلكوا معرفة مسبقة بهذه الثغرات قبل إعلانها من مايكروسوفت، وهو ما يعكس قدرات استخباراتية متقدمة.
سلسلة الهجوم
وفقًا لـ Trend Micro، يتمثل السيناريو في:
- استغلال CVE-2026-21509 لإجبار النظام على جلب ملف LNK خبيث.
- استغلال CVE-2026-21513 لتجاوز ميزات الأمان وتنفيذ الحمولة دون تحذيرات.
- نشر برمجيات مثل MiniDoor (لجمع بيانات البريد الإلكتروني من Outlook) أو مجموعة PRISMEX المترابطة.
مكونات برمجية PRISMEX
- PrismexSheet: ملف Excel خبيث يستخدم الماكرو لاستخراج الحمولة المخفية داخل الصور، ويعرض مستندًا وهميًا عن أسعار الطائرات المسيّرة.
- PrismexDrop: أداة إسقاط أصلية تستخدم مهام مجدولة واختطاف DLL لضمان الاستمرارية.
- PrismexLoader (PixyNetLoader): مكتبة DLL تعمل كوسيط لاستخراج حمولة .NET من صورة PNG باستخدام خوارزمية خاصة.
- PrismexStager: غرسة خبيثة تعتمد على إطار COVENANT وتستخدم خدمة Filen.io السحابية للتحكم والسيطرة.
أهداف استراتيجية
تؤكد Trend Micro أن هذه الحملة تكشف عن نية استراتيجية لتعطيل سلاسل الإمداد والقدرات التشغيلية لأوكرانيا وشركائها في الناتو، مع احتمالية أن تكون مقدمة لهجمات أكثر تدميرًا. بعض الحوادث تضمنت تنفيذ أوامر Wiper لمسح ملفات المستخدم بالكامل، ما يشير إلى أن الهدف يتجاوز التجسس ليشمل التخريب.
