Le groupe russe APT28 déploie PRISMEX, un malware inédit combinant stéganographie et cloud C2, contre l'Ukraine et les partenaires logistiques de l'OTAN.
En bref
- Le groupe russe APT28 (Forest Blizzard) mène une campagne de spear-phishing contre l'Ukraine et ses alliés OTAN avec un malware inédit baptisé PRISMEX.
- PRISMEX combine stéganographie dans des fichiers Excel, détournement COM et abus du stockage cloud Filen.io pour le command-and-control.
- Les secteurs visés incluent la défense ukrainienne, la logistique ferroviaire en Pologne, le transport maritime en Roumanie et les partenaires d'initiatives d'armement en Slovaquie et Tchéquie.
Ce qui s'est passé
Des chercheurs en cybersécurité ont mis au jour une campagne d'espionnage sophistiquée attribuée à APT28, le groupe de cyberespionnage affilié au renseignement militaire russe (GRU), également connu sous les noms Forest Blizzard et Pawn Storm. Cette opération, active depuis au moins septembre 2025, déploie une suite de malwares jusqu'alors inconnue baptisée PRISMEX. La campagne cible en priorité les organes exécutifs centraux ukrainiens, les services météorologiques, de défense et d'urgence du pays, mais s'étend également aux partenaires logistiques de l'OTAN en Europe de l'Est. La Pologne, la Roumanie, la Slovénie, la Turquie, la Slovaquie et la République tchèque figurent parmi les pays touchés, avec un intérêt particulier pour les organisations impliquées dans la logistique ferroviaire, le transport maritime et les initiatives d'approvisionnement en munitions.
Le vecteur d'infection initial repose sur des courriels de spear-phishing contenant des documents Excel piégés. Le composant PrismexSheet, une macro VBA malveillante intégrée au fichier, extrait des charges utiles dissimulées par stéganographie et affiche un document leurre relatif à des inventaires de drones pour tromper la vigilance des cibles. Le module PrismexDrop prépare ensuite l'environnement d'exploitation en établissant la persistance via le détournement de DLL COM et des tâches planifiées. Enfin, PrismexStager, un implant basé sur le framework COVENANT, abuse du service de stockage cloud Filen.io pour établir un canal de commande et contrôle discret, difficile à détecter par les solutions de sécurité réseau traditionnelles.
Pourquoi c'est important
Cette campagne illustre l'évolution constante des capacités offensives d'APT28, qui exploite désormais des vulnérabilités récemment divulguées avec une rapidité remarquable. Les failles CVE-2026-21509 et CVE-2026-21513 ont été weaponisées avant même leur publication officielle, avec une infrastructure préparée dès le 12 janvier 2026, soit deux semaines avant la divulgation du premier CVE. Cette capacité d'exploitation quasi-instantanée représente un défi majeur pour les équipes de défense, comme le soulignait récemment un rapport de CrowdStrike sur l'accélération des temps d'intrusion. L'utilisation de services cloud légitimes comme Filen.io pour le C2 rend la détection particulièrement ardue, le trafic se fondant dans les communications normales de l'entreprise. Cette menace s'inscrit dans un contexte plus large de cyberattaques de plus en plus rapides et sophistiquées contre les infrastructures critiques européennes.
Ce qu'il faut retenir
- Les organisations liées à la défense et à la logistique OTAN doivent renforcer leur vigilance face au spear-phishing, notamment les pièces jointes Excel contenant des macros.
- Surveiller les connexions sortantes vers les services de stockage cloud inhabituels (Filen.io, Mega) qui peuvent servir de canaux C2, un enjeu critique pour la stratégie cybersécurité nationale.
- Appliquer sans délai les correctifs pour les CVE récentes et surveiller les indicateurs de compromission publiés par les CERT nationaux, comme le recommande également l'analyse du Patch Tuesday d'avril 2026.
Quels secteurs sont les plus exposés aux attaques d'APT28 en Europe ?
Les secteurs de la défense, de la logistique militaire, du transport ferroviaire et maritime, ainsi que les services gouvernementaux des pays alliés de l'OTAN en Europe de l'Est sont les plus ciblés. Les entreprises impliquées dans les chaînes d'approvisionnement en matériel militaire constituent également des cibles prioritaires pour le groupe.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
FIRESTARTER : APT persistant sur les pare-feu Cisco ASA
CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire