Grupo hacker russo APT28 lança campanha avançada com malware PRISMEX contra Ucrânia e aliados da OTAN
Um novo capítulo da guerra cibernética envolvendo a Rússia voltou a chamar a atenção de analistas de segurança em todo o mundo. O grupo APT28 – também conhecido como Forest Blizzard e Pawn Storm – foi vinculado a uma ofensiva altamente sofisticada contra a Ucrânia e diversos países membros da OTAN, utilizando um conjunto inédito de malwares batizado de PRISMEX, voltado tanto para espionagem quanto para possíveis ações de sabotagem digital.
Alvos estratégicos e motivação geopolítica
Investigações recentes indicam que a campanha está em curso desde, pelo menos, setembro de 2025. Os atacantes têm como foco setores diretamente ligados ao esforço de guerra e à sustentação de operações militares e civis: órgãos governamentais, estruturas de defesa, operadores de logística ferroviária, empresas de transporte marítimo e até serviços meteorológicos.
Esses alvos não foram escolhidos ao acaso. Informações sobre transporte de armas, rotas de suprimento, previsão do tempo para operações em campo e comunicações internas de governos são peças-chave em qualquer conflito moderno, e o APT28 parece estar mirando justamente essas engrenagens críticas.
Porta de entrada: spear phishing cirúrgico e exploração de falhas
A cadeia de ataque começa, na maioria dos casos, com campanhas de spear phishing extremamente personalizadas. As vítimas recebem mensagens que imitam comunicações internas de governo, avisos de fornecedores estratégicos ou documentos de rotina, tornando o engano muito mais convincente.
Nesse vetor inicial, o grupo explora vulnerabilidades recentes, como as falhas catalogadas como CVE-2026-21509 e CVE-2026-21513. Evidências técnicas sugerem que, em determinados incidentes, o APT28 se aproveitou dessas vulnerabilidades ainda na condição de zero-day, antes de sua divulgação pública, o que indica acesso privilegiado a pesquisas de vulnerabilidades e um nível elevado de maturidade ofensiva.
Cadeia de infecção em múltiplos estágios
Uma vez que a vítima interage com o e-mail malicioso, uma falha é explorada para forçar o download de um arquivo no formato .LNK – aparentemente inofensivo, mas especialmente preparado.
Esse arquivo, por sua vez, aciona outra vulnerabilidade para contornar controles de segurança locais, como sistemas de proteção de endpoint e políticas de execução, permitindo que código malicioso seja executado sem disparar alertas visíveis para o usuário final.
Essa combinação de exploração em camadas – vulnerabilidade + arquivo LNK + bypass de segurança – aumenta significativamente a taxa de sucesso, reduzindo as chances de detecção nas etapas iniciais do ataque.
PRISMEX: esteganografia e evasão avançada
No estágio final, entra em cena o PRISMEX, um conjunto modular de ferramentas desenhado para operações de longo prazo dentro dos sistemas comprometidos. Uma das características mais marcantes do malware é o uso de esteganografia: cargas maliciosas são escondidas dentro de imagens aparentemente legítimas, como arquivos de mídia comuns.
Com isso, o tráfego gerado pelo malware se mistura facilmente a fluxos rotineiros de rede, dificultando a identificação por mecanismos de inspeção tradicional. Além disso, o PRISMEX utiliza técnicas como hijacking de COM (Component Object Model) para se injetar em processos legítimos do sistema, aumentando a persistência e reduzindo indícios de atividade suspeita.
Abuso de serviços em nuvem e comando e controle
Outro ponto crítico da campanha é o uso de serviços legítimos em nuvem para comunicação com os servidores de comando e controle (C2). Em vez de estabelecer conexões diretas com endereços claramente suspeitos, o malware se esconde atrás de plataformas amplamente confiáveis, o que dificulta bloqueios baseados em reputação ou listas de negação.
Para orquestrar as ações dentro dos sistemas comprometidos, o APT28 emprega o framework de C2 COVENANT, ferramenta conhecida em ambientes de teste de intrusão, mas frequentemente reaproveitada por grupos de ameaça avançada. Isso permite controlar remotamente os hosts infectados, executar comandos sob demanda, exfiltrar dados e distribuir novos módulos maliciosos de forma dinâmica.
Arquitetura modular: loaders, droppers e stagers
O PRISMEX não é um único malware, mas sim um ecossistema de componentes. Entre eles:
– Loaders: responsáveis por carregar outros módulos na memória, sem deixar muitos vestígios em disco.
– Droppers: encarregados de instalar arquivos adicionais, muitas vezes ofuscados ou criptografados.
– Stagers: pequenas cargas iniciais que abrem caminho para componentes mais complexos, reduzindo a exposição inicial do ataque.
Essa arquitetura modular confere grande flexibilidade operacional. O grupo consegue adaptar rapidamente a campanha, introduzindo novos recursos, alterando técnicas de persistência ou mudando o fluxo de comunicação, tudo sem precisar reconstruir o ataque do zero.
Espionagem com potencial destrutivo
Embora o foco central seja claramente a espionagem – com coleta de documentos, dados de e-mail e informações sensíveis – a campanha também apresenta um lado destrutivo. Em alguns casos analisados, foram identificados comandos capazes de apagar arquivos de sistema, corromper dados e causar interrupções operacionais.
O roubo sistemático de e-mails via Outlook é outro elemento sensível. Ao acessar caixas de entrada de autoridades e executivos, o APT28 pode mapear redes de relacionamento, entender decisões estratégicas em tempo quase real e, se desejar, usar essas informações em operações de influência ou desinformação.
Continuidade com operações anteriores
As técnicas observadas no PRISMEX apresentam semelhanças com campanhas atribuídas anteriormente ao mesmo grupo, como a Operation Neusploit. Há um padrão de evolução contínua: ferramentas são aprimoradas, cadeias de ataque são refinadas e métodos de evasão são ajustados para acompanhar os avanços das soluções de segurança.
A reutilização de conceitos, aliada à introdução de novas técnicas de ocultação e ao maior uso de infraestrutura em nuvem, mostra que o APT28 está em constante adaptação, tratando cada campanha como um laboratório para ataques futuros.
Cibersegurança como frente de batalha geopolítica
O caso PRISMEX reforça a percepção de que, em conflitos modernos, a fronteira entre guerra física e guerra digital praticamente desapareceu. Ataques cibernéticos deixam de ser apenas instrumentos de espionagem e passam a atuar como ferramentas de pressão política, sabotagem econômica e perturbação de infraestruturas críticas.
Ao atingir cadeias de suprimento, rotas logísticas e serviços de apoio à Ucrânia, o APT28 não busca apenas informação, mas também a possibilidade de atrasar envios, comprometer operações e criar incertezas que impactam diretamente o campo de batalha e a opinião pública internacional.
Riscos para outros países e lições para o Brasil
Embora o foco da campanha seja a Ucrânia e aliados diretos da OTAN, o tipo de técnica utilizada é globalmente aplicável. Qualquer país com dependência de infraestrutura crítica digitalizada – incluindo o Brasil – pode se tornar alvo em cenários de tensão política ou econômica.
Organizações brasileiras dos setores de energia, transporte, telecomunicações, finanças e governo devem encarar episódios como esse como um alerta. A sofisticação do PRISMEX demonstra que não basta contar apenas com antivírus tradicionais ou firewalls básicos; é necessário investir em monitoramento contínuo, gestão rigorosa de vulnerabilidades e treinamento constante de usuários contra phishing direcionado.
Medidas de defesa recomendadas
Entre as ações que podem mitigar riscos de campanhas avançadas como a do PRISMEX, destacam-se:
– Atualização rápida de sistemas e aplicação de patches de segurança assim que divulgados.
– Implementação de soluções de EDR (Endpoint Detection and Response) e XDR, capazes de identificar comportamentos anômalos, e não apenas assinaturas conhecidas de malware.
– Segmentação de rede para limitar a movimentação lateral de atacantes em caso de comprometimento inicial.
– Políticas rígidas de filtragem de e-mails, com bloqueio de anexos potencialmente perigosos, como arquivos LNK, e análise aprofundada de anexos e URLs.
– Treinamento recorrente de colaboradores para reconhecimento de spear phishing e boas práticas de higiene digital.
Olhando para o futuro da defesa cibernética
A tendência é que campanhas como a do APT28 com o PRISMEX se tornem cada vez mais frequentes e complexas, especialmente em um cenário internacional marcado por disputas geopolíticas, polarização e crescente digitalização de serviços essenciais.
Para países, empresas e instituições, a principal lição é clara: cibersegurança deixou de ser apenas um tema técnico e passa a ocupar um lugar central em estratégias de defesa nacional, continuidade de negócios e proteção de dados sensíveis.
A capacidade de detectar, responder e se recuperar rapidamente de ataques sofisticados será um dos fatores decisivos para a resiliência de qualquer nação ou organização na próxima década.