De Russische dreigingsactor APT28, ook bekend als Forest Blizzard en Pawn Storm, voert sinds september 2025 een spear-phishingcampagne uit gericht op Oekraïne en haar NAVO-bondgenoten. Hierbij wordt een tot nu toe onbekende malwarefamilie ingezet, genaamd PRISMEX, die geavanceerde technieken zoals steganografie, COM-hijacking en misbruik van legitieme clouddiensten voor command-and-control combineert.

De campagne richt zich op diverse sectoren in Oekraïne, waaronder centrale uitvoerende organen, hydrometeorologie, defensie en hulpdiensten. Daarnaast worden ook logistieke en transportpartners in Polen, Roemenië, Slovenië, Turkije, Slowakije en Tsjechië aangevallen, evenals militaire en NAVO-partners. Opvallend is het snelle gebruik van recent openbaar gemaakte kwetsbaarheden, zoals CVE-2026-21509 en CVE-2026-21513, waarbij infrastructuur al op 12 januari 2026 werd klaargezet, twee weken voor de eerste kwetsbaarheid publiek werd gemaakt.

In februari 2026 meldde Akamai dat APT28 mogelijk CVE-2026-21513 als zero-day heeft ingezet via een Microsoft Shortcut (LNK)-exploit die al op 30 januari 2026 op VirusTotal werd geüpload, ruim voor de officiële patch van Microsoft op 10 februari 2026. Dit wijst op geavanceerde kennis van de kwetsbaarheden voorafgaand aan de publieke bekendmaking. Beide kwetsbaarheden worden vermoedelijk gecombineerd in een tweefasige aanval waarbij eerst een kwaadaardig .LNK-bestand wordt opgehaald dat vervolgens de tweede kwetsbaarheid misbruikt om beveiligingsmaatregelen te omzeilen en payloads zonder waarschuwing uit te voeren.

De aanvallen leiden tot de installatie van MiniDoor, een Outlook e-mailsteler, of een verzameling malwarecomponenten onder de naam PRISMEX. Deze malware maakt gebruik van steganografie om payloads te verbergen in afbeeldingsbestanden en bestaat uit verschillende onderdelen, waaronder PrismexSheet, een kwaadaardige Excel-dropper met VBA-macro’s die payloads uit het bestand haalt en persistentie realiseert via COM-hijacking. PrismexDrop is een native dropper die de omgeving voorbereidt voor verdere exploitatie en gebruikmaakt van geplande taken en COM DLL-hijacking. PrismexLoader (ook bekend als PixyNetLoader) is een proxy DLL die een .NET payload uit een PNG-afbeelding haalt en deze volledig in het geheugen uitvoert. PrismexStager is een implantaat dat het open-source COVENANT command-and-control framework gebruikt en cloudopslag van Filen.io misbruikt voor communicatie.

De campagne vertoont overeenkomsten met eerder door Zscaler ThreatLabz gedocumenteerde activiteiten onder de naam Operation Neusploit. Het gebruik van COVENANT door APT28 werd voor het eerst gemeld door het Oekraïense CERT-UA in juni 2025. PrismexStager wordt gezien als een uitbreiding van eerdere backdoors zoals MiniDoor en NotDoor (ook bekend als GONEPOSTAL), die eind 2025 werden ingezet. In oktober 2025 werd vastgesteld dat de COVENANT payload niet alleen informatie verzamelde, maar ook verdere acties mogelijk maakte.