Furtivité dans l’ombre : l’APT28 russe déchaîne le malware PRISMEX contre l’Ukraine et les chaînes d’approvisionnement de l’OTAN

Le champ de bataille numérique vient de devenir encore plus périlleux. Dans une campagne agressive digne d’un roman d’espionnage, le groupe de hackers russes APT28 - également connu sous les noms de Forest Blizzard et Pawn Storm - a déployé une suite de malwares sophistiqués baptisée PRISMEX contre l’Ukraine et ses partenaires de l’OTAN. L’opération, active depuis au moins septembre 2025, révèle une volonté calculée de perturber les chaînes d’approvisionnement, de collecter des renseignements et, potentiellement, de saboter le soutien vital à l’effort de guerre ukrainien.

Dans le manuel PRISMEX

Des chercheurs de Trend Micro et Akamai ont mis au jour un schéma glaçant : APT28 exploite désormais des failles logicielles nouvellement découvertes avant même que le reste du monde n’en ait connaissance. Dans cette campagne, le groupe a enchaîné deux vulnérabilités zero-day de Microsoft Windows, orchestrant une attaque astucieuse en deux étapes. D’abord, CVE-2026-21509 trompe la machine de la victime pour qu’elle récupère un fichier de raccourci malveillant. Ensuite, CVE-2026-21513 est exploité pour contourner silencieusement la sécurité et exécuter le malware - sans avertissement, sans laisser le temps aux défenseurs de réagir.

La suite de malwares PRISMEX est en elle-même une prouesse technique de subterfuge. Elle combine la stéganographie (cacher du code dans des fichiers image), le détournement du modèle objet composant (COM) pour la persistance, et l’utilisation abusive de services de stockage cloud légitimes pour les communications de commande et contrôle. La chaîne d’infection peut commencer par un document Excel piégé (PrismexSheet) qui, lorsque les macros sont activées, extrait des charges utiles cachées et affiche un faux document sur les inventaires de drones - camouflage pour sa véritable mission.

À partir de là, des composants spécialisés comme PrismexDrop et PrismexLoader préparent le système à une compromission plus poussée, extrayant du code malveillant supplémentaire à partir d’images et l’exécutant entièrement en mémoire pour échapper à la détection. La charge finale, PrismexStager, se connecte à des serveurs distants en utilisant le stockage cloud comme canal furtif, étendant encore la portée des hackers. Notamment, la campagne exploite aussi COVENANT, un framework open source, permettant tout, du vol de données à l’effacement destructeur de fichiers - brouillant la frontière entre espionnage et sabotage pur et simple.

Cette opération n’a pas échappé aux défenseurs. Le CERT ukrainien et des équipes de recherche à travers le monde ont relié ces attaques à une stratégie plus large : saper non seulement des cibles militaires, mais tout l’écosystème qui soutient l’Ukraine, de la logistique à la réponse d’urgence. Le choix des cibles - notamment les services météorologiques et les corridors humanitaires - signale un basculement vers une perturbation opérationnelle qui pourrait annoncer des cyberattaques encore plus destructrices à venir.

Perspectives

La campagne PRISMEX rappelle brutalement que les lignes de front numériques sont aussi cruciales que celles du terrain. Alors que des acteurs comme APT28 continuent d’innover, les défenseurs doivent rester vigilants, corriger rapidement les vulnérabilités et sensibiliser les utilisateurs aux dangers de documents et liens en apparence anodins. Dans ce conflit cybernétique en constante évolution, l’enjeu n’est pas seulement la donnée - ce sont des vies, la logistique et la résilience même des nations assiégées.

WIKICROOK

• APT28 : APT28, ou Fancy Bear, est un groupe de hackers soutenu par l’État russe, connu pour ses opérations de cyber-espionnage contre des gouvernements et organisations occidentaux.
• Zero : Une vulnérabilité zero-day est une faille de sécurité cachée, inconnue de l’éditeur du logiciel, sans correctif disponible, ce qui la rend très précieuse et dangereuse pour les attaquants.
• Stéganographie : La stéganographie consiste à dissimuler des messages ou du code secrets dans des fichiers courants, comme des images ou de l’audio, rendant l’information cachée difficile à détecter.
• Détournement COM : Le détournement COM consiste pour les attaquants à modifier les paramètres Windows afin que le système charge leurs programmes malveillants à la place des logiciels légitimes.
• Commande : Une commande est une instruction envoyée à un appareil ou à un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.