{"id":499,"date":"2026-04-08T16:37:13","date_gmt":"2026-04-08T16:37:13","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/08\/apt28-implementa-el-malware-prismex-en-una-campana-dirigida-a-ucrania-y-los-aliados-de-la-otan-cyberdefensa-mx\/"},"modified":"2026-04-08T16:37:13","modified_gmt":"2026-04-08T16:37:13","slug":"apt28-implementa-el-malware-prismex-en-una-campana-dirigida-a-ucrania-y-los-aliados-de-la-otan-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/08\/apt28-implementa-el-malware-prismex-en-una-campana-dirigida-a-ucrania-y-los-aliados-de-la-otan-cyberdefensa-mx\/","title":{"rendered":"APT28 implementa el malware PRISMEX en una campa\u00f1a dirigida a Ucrania y los aliados de la OTAN \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

El actor de amenazas ruso conocido como APT28<\/strong> (tambi\u00e9n conocido como Forest Blizzard y Pawn Storm) ha sido vinculado a una nueva campa\u00f1a de phishing dirigida a Ucrania y sus aliados para implementar un paquete de malware previamente indocumentado con nombre en c\u00f3digo. PRISMEX<\/strong>.<\/p>\n

\u00abPRISMEX combina esteganograf\u00eda avanzada, secuestro del modelo de objetos componentes (COM) y abuso leg\u00edtimo de servicios en la nube para comando y control\u00bb, afirman los investigadores de Trend Micro Feike Hacquebord y Hiroyuki Kakara. dicho<\/a> en un informe t\u00e9cnico. Se cree que la campa\u00f1a est\u00e1 activa desde al menos septiembre de 2025.<\/p>\n

La actividad se ha centrado en varios sectores de Ucrania, incluidos los \u00f3rganos ejecutivos centrales, la hidrometeorolog\u00eda, la defensa y los servicios de emergencia, as\u00ed como la log\u00edstica ferroviaria (Polonia), mar\u00edtima y de transporte (Rumania, Eslovenia, Turqu\u00eda), y socios de apoyo log\u00edstico involucrados en iniciativas de municiones (Eslovaquia, Rep\u00fablica Checa), y socios militares y de la OTAN.<\/p>\n

La campa\u00f1a se destaca por la r\u00e1pida utilizaci\u00f3n como arma de fallas recientemente reveladas, como CVE-2026-21509 y CVE-2026-21513, para violar objetivos de inter\u00e9s, y la preparaci\u00f3n de la infraestructura se observ\u00f3 el 12 de enero de 2026, exactamente dos semanas antes de que la primera se revelara p\u00fablicamente.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

A finales de febrero de 2025, Akamai tambi\u00e9n revel\u00f3 que APT28 pudo haber convertido a CVE-2026-21513 en un arma como un d\u00eda cero basado en un exploit de acceso directo de Microsoft (LNK) que se carg\u00f3 en VirusTotal el 30 de enero de 2026, mucho antes de que el fabricante de Windows lanzara una soluci\u00f3n como parte de su actualizaci\u00f3n del martes de parches el 10 de febrero de 2026.<\/p>\n

Este patr\u00f3n de explotaci\u00f3n de d\u00eda cero indica que el actor de la amenaza ten\u00eda conocimiento avanzado de las vulnerabilidades antes de que Microsoft las revelara.<\/p>\n

Una superposici\u00f3n interesante entre las campa\u00f1as que explotan las dos vulnerabilidades es el dominio \u00abwellnesscaremed[.]com.\u00bb Este punto en com\u00fan, combinado con el momento de los dos exploits, ha planteado la posibilidad de que los actores de la amenaza est\u00e9n encadenando CVE-2026-21513 y CVE-2026-21509 en una sofisticada cadena de ataque de dos etapas.<\/p>\n

\u00abLa primera vulnerabilidad (CVE-2026-21509) obliga al sistema de la v\u00edctima a recuperar un archivo .LNK malicioso, que luego explota la segunda vulnerabilidad (CVE-2026-21513) para eludir las funciones de seguridad y ejecutar cargas \u00fatiles sin advertencias para el usuario\u00bb, teoriz\u00f3 Trend Micro.<\/p>\n

Los ataques culminan con el despliegue de cualquiera de los dos MiniDoor, un ladr\u00f3n de correo electr\u00f3nico de Outlook, o una colecci\u00f3n de componentes de malware interconectados conocidos colectivamente como PRISMEX, llamado as\u00ed por el uso de una t\u00e9cnica esteganogr\u00e1fica para ocultar cargas \u00fatiles dentro de archivos de im\u00e1genes. Estos incluyen \u2013<\/a><\/p>\n