En bref

  • APT28 (Forest Blizzard / Pawn Storm) déploie PRISMEX, suite malveillante combinant steganographie, COM hijacking et abus de Filen.io pour le C2
  • Cibles : Ukraine (services centraux, défense, hydrométéorologie), logistique ferroviaire polonaise, maritime en Roumanie/Slovénie/Turquie, soutiens munitions Slovaquie/Tchéquie
  • Campagne active depuis septembre 2025 mais nouvelle vague identifiée en avril 2026, avec exploitation de CVE-2026-21509 et CVE-2026-21513 en zero-day

Les faits

Le groupe russe APT28, également suivi sous les noms Fancy Bear, Sofacy, Sednit, BlueDelta ou STRONTIUM, a été lié par plusieurs éditeurs (The Hacker News, Security Affairs, SC Media, F5 Labs) à une nouvelle campagne de spear-phishing massive baptisée PRISMEX. Le vecteur initial reste classique : une pièce jointe Excel piégée (PrismexSheet) embarquant des macros VBA. Une fois activées, ces macros extraient par steganographie des charges utiles cachées dans le fichier lui-même, installent une persistance via COM hijacking et affichent un document leurre — typiquement des inventaires de drones ou des grilles tarifaires de munitions.

La chaîne d'attaque enchaîne ensuite PrismexDrop (dropper natif qui prépare l'environnement, pose des tâches planifiées et détourne des DLL COM légitimes) puis PrismexStager, qui exfiltre via le service cloud légitime Filen.io. L'usage de Filen.io permet au trafic C2 de se fondre dans des flux web licites, échappant aux règles de détection basées sur des domaines réputationnels. Détail saillant : APT28 a enregistré ses serveurs WebDAV le 12 janvier 2026, soit deux semaines avant la divulgation publique de CVE-2026-21509 le 26 janvier — confirmation que le groupe disposait d'un accès zero-day.

Impact et exposition

L'exposition est la plus forte sur les organisations soutenant logistiquement l'effort ukrainien : transporteurs ferroviaires polonais, opérateurs maritimes et portuaires en Roumanie, Slovénie et Turquie, ainsi que les acteurs européens des chaînes d'approvisionnement de munitions (Slovaquie, République tchèque). Les administrations ukrainiennes (services centraux exécutifs, Hydrométéorologie, défense, urgences) restent les cibles prioritaires. Un détail inquiétant : dans au moins un incident d'octobre 2025, le payload COVENANT Grunt déployé par PRISMEX exécutait une commande de wipe destructive du dossier %USERPROFILE% — la frontière entre espionnage et sabotage devient ténue.

Recommandations

  • Bloquer ou journaliser les connexions sortantes vers les domaines Filen.io et les CDN qu'il utilise pour son stockage chiffré
  • Désactiver les macros VBA par défaut pour les fichiers Office reçus depuis Internet (politique « Block macros from running in Office files from the Internet »)
  • Surveiller les modifications des clés de registre HKCU\Software\Classes\CLSID\* et HKCU\Software\Classes\Wow6432Node\CLSID\* — vecteur de COM hijacking persistant
  • Auditer les tâches planifiées créées par des utilisateurs standards dans les 30 derniers jours sur l'ensemble du parc, particulièrement sur les postes des responsables logistique, achats et défense
  • Patcher en priorité CVE-2026-21509 et CVE-2026-21513 si vous ne l'avez pas déjà fait

Alerte critique

La présence d'une commande de wipe dans une charge APT28 transforme cette campagne d'opération de renseignement en risque de sabotage industriel. Les organisations européennes du transport et de la logistique militaire doivent considérer une compromission active comme plausible et lancer une chasse aux IOC PRISMEX.

Comment détecter le COM hijacking utilisé par PRISMEX ?

Surveillez la création ou modification de clés sous HKCU\Software\Classes\CLSID. Toute valeur InprocServer32 pointant vers un chemin utilisateur (AppData, Temp, Downloads) au lieu de System32 est suspecte. Sysmon Event ID 12 et 13 capturent ces écritures registre. Les EDR matures détectent ces patterns mais nécessitent que la règle « COM hijacking » soit explicitement activée — vérifiez dans votre console.

Filen.io légitime, que faire pour bloquer le C2 sans casser l'usage légitime ?

Si Filen.io n'est pas utilisé officiellement par votre organisation, bloquez-le en sortie sur le proxy ou le firewall. Si l'usage légitime existe, restreignez par groupe AD à une liste explicite d'utilisateurs et journalisez tout reste. Côté EDR, alertez sur les processus non-navigateurs (rundll32, regsvr32, processus VBA, processus enfants Excel) qui contactent api.filen.io.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit