El grupo ruso APT28 ha iniciado una campaña de spear-phishing dirigida a entidades ucranianas y aliados de la OTAN. El objetivo es la implantación de PRISMEX, un malware desconocido hasta ahora. Esta suite emplea técnicas sofisticadas para evadir detecciones y mantener acceso a los sistemas comprometidos, reflejando la evolución constante de las amenazas dirigidas con motivación geopolítica.
Técnicas de ofuscación y persistencia de PRISMEX 🕵️
PRISMEX utiliza esteganografía avanzada, ocultando su carga maliciosa dentro de archivos de imagen aparentemente normales. Para la persistencia, secuestra el modelo de objetos componentes (COM) del sistema. Sus comunicaciones de comando y control se camuflan mediante el abuso de servicios legítimos en la nube, dificultando el bloqueo de tráfico malicioso y el análisis forense.
Los chicos de APT28 y su obsesión por el arte digital 🎨
No contentos con el phishing de toda la vida, ahora nos regalan arte abstracto. Esconden el malware en imágenes, como si fueran artistas digitales de vanguardia. Su uso creativo de servicios en la nube demuestra que hasta los actores de amenazas aprecian las ventajas de la computación distribuida. Un esfuerzo notable, aunque uno preferiría que canalizaran esa inventiva en proyectos de código abierto legítimos.