Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il gruppo Pawn Storm ha lanciato una campagna malware con PRISMEX, prendendo di mira organizzazioni di aiuti umanitari, trasporti e infrastrutture critiche in Ucraina e Europa centrale. Gli attacchi sfruttano le vulnerabilità zero-day CVE-2026-21509 e CVE-2026-21513, distribuendo codice nascosto in file RTF e immagini, con persistenza tramite componenti Windows e traffico mascherato da servizi cloud. Trend Micro evidenzia il rischio di sabotaggio oltre alla spionaggio, rendendo PRISMEX una minaccia significativa per difesa, logistica e pubblica amministrazione.
Il gruppo Pawn Storm, ha lanciato una nuova campagna utilizzando un pacchetto malware chiamato PRISMEX. Hanno preso di mira alcune organizzazioni responsabili della distribuzione di aiuti umanitari, dei trasporti e delle infrastrutture critiche in Ucraina e nell’Europa centrale e orientale.
Secondo Trend Micro, sono state colpite le catene di approvvigionamento della difesa e della logistica, i servizi meteorologici e anche quelle organizzazioni governative. Tutto questo sta ad indicare un interesse non solo per l’intelligence, ma anche per la potenziale interruzione di sistemi chiave per gli stati nazionali.
Il gruppo è attivo almeno da settembre 2025 e le attività si sono intensificate da gennaio 2026. Oltre all’Ucraina, sono stati individuati altri obiettivi come la Repubblica Ceca, la Polonia, Romania, Slovacchia, Slovenia e Turchia. I settori colpiti sono la logistica militare, i trasporti e la pubblica amministrazione.
PRISMEX è costituito da una catena di malware: un dropper, un loader e un modulo di controllo.
Il codice dannoso è nascosto dentro le immagini ed eseguito in memoria senza essere scritto su disco, rendendo difficile il rilevamento. La persistenza è garantita dal dirottamento di oggetti del modello dei componenti di Windows e la gestione del traffico è mascherata da servizi cloud legittimi. La fase finale è basata sull’utilizzo dello strumento Covenant.
L’attacco ha sfruttato la vulnerabilità CVE-2026-21509 presente in Microsoft Office. Un file RTF appositamente creato costringe il sistema a doversi connettere a un server remoto e a scaricare un file .lnk senza alcuna interazione da parte dell’utente. È possibile un collegamento con un’altra vulnerabilità, il bug monitorato con il codice CVE-2026-21513 in MSHTML: il campione ha sfruttato la stessa infrastruttura, sebbene Trend Micro non lo abbia confermato direttamente.
La preparazione dell’infrastruttura è iniziata il 12 gennaio 2026, due settimane prima della divulgazione del bug CVE-2026-21509. L’exploit per la CVE-2026-21513 è apparso in data 30 gennaio, mentre la patch è stata rilasciata il 10 febbraio, il che indica che la vulnerabilità zero-day è stata sfruttata da 11 giorni.
Gli attacchi sono stati diffusi tramite email mirate con oggetto relativo ad allerte meteo, programmi militari e contrabbando di armi. In precedenza, gli aggressori avevano camuffato i file come elenchi di droni, listini prezzi e moduli di acquisto, indicando un interesse per unità legate ai droni e alla logistica.
Trend Micro rileva non solo spyware, ma anche funzioni distruttive. Tra le attività precedenti, si segnala un comando per eliminare tutti i file utente. Ciò suggerisce la possibilità di una transizione dalla ricognizione al sabotaggio, soprattutto alla luce degli attacchi ai nodi di trasporto e ai servizi meteorologici.
La nuova campagna evidenzia un cambiamento di prospettiva, con una maggiore attenzione alle infrastrutture a supporto degli approvvigionamenti militari e umanitari. I dati meteorologici sono essenziali per i droni e l’artiglieria, le ferrovie polacche rappresentano una via di transito fondamentale per gli aiuti umanitari, e le rotte di trasporto attraverso Romania, Slovenia e Turchia offrono fonti di approvvigionamento alternative.
PRISMEX dimostra una combinazione di nuove vulnerabilità, download di codice furtivi e utilizzo di servizi affidabili. Per le organizzazioni dei settori della difesa, dei trasporti e della pubblica amministrazione, questo approccio comporta un rischio maggiore, poiché gli attacchi diventano meno visibili e si infiltrano più rapidamente nell’infrastruttura.
