APT28 déploie le malware PRISMEX contre l'Ukraine et l'OTAN

15 avril 2026

•

Mis à jour le 30 mai 2026

•

4 min de lecture

•

611 mots

•

557 vues

•

Le groupe russe APT28 déploie PRISMEX, un malware inédit combinant stéganographie et cloud C2, contre l'Ukraine et les partenaires logistiques de l'OTAN.

TL;DR — En résumé

Le groupe russe APT28 cible l'Ukraine et les alliés de l'OTAN avec PRISMEX, un malware inédit combinant stéganographie, COM hijacking et cloud C2.

En bref

Le groupe russe APT28 (Forest Blizzard) mène une campagne de spear-phishing contre l'Ukraine et ses alliés OTAN avec un malware inédit baptisé PRISMEX.
PRISMEX combine stéganographie dans des fichiers Excel, détournement COM et abus du stockage cloud Filen.io pour le command-and-control.
Les secteurs visés incluent la défense ukrainienne, la logistique ferroviaire en Pologne, le transport maritime en Roumanie et les partenaires d'initiatives d'armement en Slovaquie et Tchéquie.

Ce qui s'est passé

Des chercheurs en cybersécurité ont mis au jour une campagne d'espionnage sophistiquée attribuée à APT28, le groupe de cyberespionnage affilié au renseignement militaire russe (GRU), également connu sous les noms Forest Blizzard et Pawn Storm. Cette opération, active depuis au moins septembre 2025, déploie une suite de malwares jusqu'alors inconnue baptisée PRISMEX. La campagne cible en priorité les organes exécutifs centraux ukrainiens, les services météorologiques, de défense et d'urgence du pays, mais s'étend également aux partenaires logistiques de l'OTAN en Europe de l'Est. La Pologne, la Roumanie, la Slovénie, la Turquie, la Slovaquie et la République tchèque figurent parmi les pays touchés, avec un intérêt particulier pour les organisations impliquées dans la logistique ferroviaire, le transport maritime et les initiatives d'approvisionnement en munitions.

Le vecteur d'infection initial repose sur des courriels de spear-phishing contenant des documents Excel piégés. Le composant PrismexSheet, une macro VBA malveillante intégrée au fichier, extrait des charges utiles dissimulées par stéganographie et affiche un document leurre relatif à des inventaires de drones pour tromper la vigilance des cibles. Le module PrismexDrop prépare ensuite l'environnement d'exploitation en établissant la persistance via le détournement de DLL COM et des tâches planifiées. Enfin, PrismexStager, un implant basé sur le framework COVENANT, abuse du service de stockage cloud Filen.io pour établir un canal de commande et contrôle discret, difficile à détecter par les solutions de sécurité réseau traditionnelles.

Pourquoi c'est important

Cette campagne illustre l'évolution constante des capacités offensives d'APT28, qui exploite désormais des vulnérabilités récemment divulguées avec une rapidité remarquable. Les failles CVE-2026-21509 et CVE-2026-21513 ont été weaponisées avant même leur publication officielle, avec une infrastructure préparée dès le 12 janvier 2026, soit deux semaines avant la divulgation du premier CVE. Cette capacité d'exploitation quasi-instantanée représente un défi majeur pour les équipes de défense, comme le soulignait récemment un rapport de CrowdStrike sur l'accélération des temps d'intrusion. L'utilisation de services cloud légitimes comme Filen.io pour le C2 rend la détection particulièrement ardue, le trafic se fondant dans les communications normales de l'entreprise. Cette menace s'inscrit dans un contexte plus large de cyberattaques de plus en plus rapides et sophistiquées contre les infrastructures critiques européennes.

Ce qu'il faut retenir

Les organisations liées à la défense et à la logistique OTAN doivent renforcer leur vigilance face au spear-phishing, notamment les pièces jointes Excel contenant des macros.
Surveiller les connexions sortantes vers les services de stockage cloud inhabituels (Filen.io, Mega) qui peuvent servir de canaux C2, un enjeu critique pour la stratégie cybersécurité nationale.
Appliquer sans délai les correctifs pour les CVE récentes et surveiller les indicateurs de compromission publiés par les CERT nationaux, comme le recommande également l'analyse du Patch Tuesday d'avril 2026.

Quels secteurs sont les plus exposés aux attaques d'APT28 en Europe ?

Les secteurs de la défense, de la logistique militaire, du transport ferroviaire et maritime, ainsi que les services gouvernementaux des pays alliés de l'OTAN en Europe de l'Est sont les plus ciblés. Les entreprises impliquées dans les chaînes d'approvisionnement en matériel militaire constituent également des cibles prioritaires pour le groupe.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact

📎 Articles complémentaires

APT28 PRISMEX : steganographie et COM hijacking contre l'OTAN

Partager cet article

Twitter LinkedIn

À propos de l'auteur

Ayi NEDJIMI

Auditeur Senior Cybersécurité & Consultant IA

Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense

ayi@ayinedjimi-consultants.fr

25+

ans d'expérience

700+

articles publiés

100+

missions réalisées

Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.

À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.

Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.

Domaines d'expertise

ISO 42001 Lead Auditor ISO 27001 · NIS2 Pentest & Forensics IA / LLM / RAG Cloud & Active Directory

Voir le profil complet Demander un devis

Ressources & Outils de l'auteur

GitHub

Code & projets open source

ORCID

Identifiant chercheur

Hugging Face

Modèles IA & datasets

CertifExpress

Préparez vos certifications IT

WindowsBooster

Optimisation Windows 11

Articles connexes

Emergence World : Claude démocratise, Grok s’effondre en 4 jours

La startup Emergence AI a soumis Claude, Grok, GPT et Gemini à la gestion de sociétés simulées pendant 15 jours. Résultat : Claude produit une démocratie stable avec zéro crime, tandis que Grok mène sa société à l’extinction en 96 heures avec 183 crimes commis.

30/05/2026

Claude Opus 4.8 : Anthropic lance les Dynamic Workflows

Anthropic a lancé Claude Opus 4.8 le 28 mai 2026, introduisant les Dynamic Workflows en research preview — jusqu’à 1 000 agents parallèles pour conduire des migrations de codebase de bout en bout, ainsi qu’un Fast Mode trois fois moins cher et un modèle quatre fois moins susceptible de laisser passer des bugs.

30/05/2026

GREYVIBE : le groupe APT russe armé de l’IA contre l’Ukraine

WithSecure Labs a dévoilé GREYVIBE, un nouveau groupe APT russophone actif depuis août 2025 qui exploite ChatGPT, Gemini et Ideogram AI pour développer son malware LegionRelay et cibler des organisations militaires, gouvernementales et civiles ukrainiennes.

30/05/2026

Article précédent

Fausse app Ledger Live sur l'App Store : 9,5 M$ volés

Article suivant

Hyperscalers : 700 milliards de dollars pour l'IA en 2026

Besoin d'un expert ?

Un projet cybersécurité ? Parlons-en.

Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin.

Nous contacter

Commentaires

Aucun commentaire pour le moment. Soyez le premier à commenter !

Laisser un commentaire