APT28 déploie le malware PRISMEX contre l'Ukraine et l'OTAN

Ce qui s'est passé

Des chercheurs en cybersécurité ont mis au jour une campagne d'espionnage sophistiquée attribuée à APT28, le groupe de cyberespionnage affilié au renseignement militaire russe (GRU), également connu sous les noms Forest Blizzard et Pawn Storm. Cette opération, active depuis au moins septembre 2025, déploie une suite de malwares jusqu'alors inconnue baptisée PRISMEX. La campagne cible en priorité les organes exécutifs centraux ukrainiens, les services météorologiques, de défense et d'urgence du pays, mais s'étend également aux partenaires logistiques de l'OTAN en Europe de l'Est. La Pologne, la Roumanie, la Slovénie, la Turquie, la Slovaquie et la République tchèque figurent parmi les pays touchés, avec un intérêt particulier pour les organisations impliquées dans la logistique ferroviaire, le transport maritime et les initiatives d'approvisionnement en munitions.

Le vecteur d'infection initial repose sur des courriels de spear-phishing contenant des documents Excel piégés. Le composant PrismexSheet, une macro VBA malveillante intégrée au fichier, extrait des charges utiles dissimulées par stéganographie et affiche un document leurre relatif à des inventaires de drones pour tromper la vigilance des cibles. Le module PrismexDrop prépare ensuite l'environnement d'exploitation en établissant la persistance via le détournement de DLL COM et des tâches planifiées. Enfin, PrismexStager, un implant basé sur le framework COVENANT, abuse du service de stockage cloud Filen.io pour établir un canal de commande et contrôle discret, difficile à détecter par les solutions de sécurité réseau traditionnelles.

Pourquoi c'est important

Cette campagne illustre l'évolution constante des capacités offensives d'APT28, qui exploite désormais des vulnérabilités récemment divulguées avec une rapidité remarquable. Les failles CVE-2026-21509 et CVE-2026-21513 ont été weaponisées avant même leur publication officielle, avec une infrastructure préparée dès le 12 janvier 2026, soit deux semaines avant la divulgation du premier CVE. Cette capacité d'exploitation quasi-instantanée représente un défi majeur pour les équipes de défense, comme le soulignait récemment un rapport de CrowdStrike sur l'accélération des temps d'intrusion. L'utilisation de services cloud légitimes comme Filen.io pour le C2 rend la détection particulièrement ardue, le trafic se fondant dans les communications normales de l'entreprise. Cette menace s'inscrit dans un contexte plus large de cyberattaques de plus en plus rapides et sophistiquées contre les infrastructures critiques européennes.

Ce qu'il faut retenir

• Les organisations liées à la défense et à la logistique OTAN doivent renforcer leur vigilance face au spear-phishing, notamment les pièces jointes Excel contenant des macros.
• Surveiller les connexions sortantes vers les services de stockage cloud inhabituels (Filen.io, Mega) qui peuvent servir de canaux C2, un enjeu critique pour la stratégie cybersécurité nationale.
• Appliquer sans délai les correctifs pour les CVE récentes et surveiller les indicateurs de compromission publiés par les CERT nationaux, comme le recommande également l'analyse du Patch Tuesday d'avril 2026.