Le groupe russe APT28 déploie PRISMEX, un malware inédit combinant stéganographie et cloud C2, contre l'Ukraine et les partenaires logistiques de l'OTAN.
En bref
- Le groupe russe APT28 (Forest Blizzard) mène une campagne de spear-phishing contre l'Ukraine et ses alliés OTAN avec un malware inédit baptisé PRISMEX.
- PRISMEX combine stéganographie dans des fichiers Excel, détournement COM et abus du stockage cloud Filen.io pour le command-and-control.
- Les secteurs visés incluent la défense ukrainienne, la logistique ferroviaire en Pologne, le transport maritime en Roumanie et les partenaires d'initiatives d'armement en Slovaquie et Tchéquie.
Ce qui s'est passé
Des chercheurs en cybersécurité ont mis au jour une campagne d'espionnage sophistiquée attribuée à APT28, le groupe de cyberespionnage affilié au renseignement militaire russe (GRU), également connu sous les noms Forest Blizzard et Pawn Storm. Cette opération, active depuis au moins septembre 2025, déploie une suite de malwares jusqu'alors inconnue baptisée PRISMEX. La campagne cible en priorité les organes exécutifs centraux ukrainiens, les services météorologiques, de défense et d'urgence du pays, mais s'étend également aux partenaires logistiques de l'OTAN en Europe de l'Est. La Pologne, la Roumanie, la Slovénie, la Turquie, la Slovaquie et la République tchèque figurent parmi les pays touchés, avec un intérêt particulier pour les organisations impliquées dans la logistique ferroviaire, le transport maritime et les initiatives d'approvisionnement en munitions.
Le vecteur d'infection initial repose sur des courriels de spear-phishing contenant des documents Excel piégés. Le composant PrismexSheet, une macro VBA malveillante intégrée au fichier, extrait des charges utiles dissimulées par stéganographie et affiche un document leurre relatif à des inventaires de drones pour tromper la vigilance des cibles. Le module PrismexDrop prépare ensuite l'environnement d'exploitation en établissant la persistance via le détournement de DLL COM et des tâches planifiées. Enfin, PrismexStager, un implant basé sur le framework COVENANT, abuse du service de stockage cloud Filen.io pour établir un canal de commande et contrôle discret, difficile à détecter par les solutions de sécurité réseau traditionnelles.
Pourquoi c'est important
Cette campagne illustre l'évolution constante des capacités offensives d'APT28, qui exploite désormais des vulnérabilités récemment divulguées avec une rapidité remarquable. Les failles CVE-2026-21509 et CVE-2026-21513 ont été weaponisées avant même leur publication officielle, avec une infrastructure préparée dès le 12 janvier 2026, soit deux semaines avant la divulgation du premier CVE. Cette capacité d'exploitation quasi-instantanée représente un défi majeur pour les équipes de défense, comme le soulignait récemment un rapport de CrowdStrike sur l'accélération des temps d'intrusion. L'utilisation de services cloud légitimes comme Filen.io pour le C2 rend la détection particulièrement ardue, le trafic se fondant dans les communications normales de l'entreprise. Cette menace s'inscrit dans un contexte plus large de cyberattaques de plus en plus rapides et sophistiquées contre les infrastructures critiques européennes.
Ce qu'il faut retenir
- Les organisations liées à la défense et à la logistique OTAN doivent renforcer leur vigilance face au spear-phishing, notamment les pièces jointes Excel contenant des macros.
- Surveiller les connexions sortantes vers les services de stockage cloud inhabituels (Filen.io, Mega) qui peuvent servir de canaux C2, un enjeu critique pour la stratégie cybersécurité nationale.
- Appliquer sans délai les correctifs pour les CVE récentes et surveiller les indicateurs de compromission publiés par les CERT nationaux, comme le recommande également l'analyse du Patch Tuesday d'avril 2026.
Quels secteurs sont les plus exposés aux attaques d'APT28 en Europe ?
Les secteurs de la défense, de la logistique militaire, du transport ferroviaire et maritime, ainsi que les services gouvernementaux des pays alliés de l'OTAN en Europe de l'Est sont les plus ciblés. Les entreprises impliquées dans les chaînes d'approvisionnement en matériel militaire constituent également des cibles prioritaires pour le groupe.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Anthropic vise 950 Md$ et talonne OpenAI sur le marché
Anthropic négocie 30 à 50 Md$ pour une valorisation pouvant atteindre 950 milliards de dollars, devançant potentiellement OpenAI dans la course aux capitaux IA.
MuddyWater : faux Chaos ransomware pour espionner via Teams
Rapid7 attribue à l'APT iranien MuddyWater une campagne d'espionnage déguisée en ransomware Chaos, exploitant Microsoft Teams pour voler les identifiants.
NGINX Rift CVE-2026-42945 : RCE non-auth en 18 ans
Une vulnérabilité heap overflow vieille de 18 ans dans le module rewrite de NGINX expose tous les serveurs non patchés à une exécution de code à distance non authentifiée.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire