Nhóm đe dọa từ Nga được định danh là APT28 (còn gọi là Forest Blizzard và Pawn Storm) được cho là đứng sau chiến dịch spear-phishing mới nhắm vào Ukraine và các đồng minh NATO. Nhóm này triển khai bộ mã độc chưa từng được ghi nhận trước đây có tên mã PRISMEX, kết hợp tinh vi giữa steganography tiên tiến, COM hijacking và lạm dụng dịch vụ đám mây hợp pháp. 

Theo báo cáo kỹ thuật của Trend Micro, “PRISMEX kết hợp advanced steganography, Component Object Model hijacking và legitimate cloud service abuse để thực hiện command-and-control (C2)”. Chiến dịch được cho là đã hoạt động ít nhất từ tháng 9/2025.

Mục tiêu chiến lược: Chuỗi cung ứng và Logistics

Chiến dịch PRISMEX không chỉ nhắm vào các cơ quan chính phủ Ukraine mà còn mở rộng sang các mắt xích quan trọng trong chuỗi cung ứng của NATO:

  • Ukraine: Cơ quan hành chính, dịch vụ khí tượng, quốc phòng.
  • Ba Lan & Romania: Logistics đường sắt và vận tải hàng hải.
  • Slovakia & CH Séc: Các đối tác cung cấp đạn dược và thiết bị quân sự.

Cơ chế tấn công: Khai thác chuỗi lỗ hổng 

Chiến dịch nổi bật với tốc độ vũ khí hóa nhanh chóng các lỗ hổng mới được công bố, điển hình là CVE-2026-21509CVE-2026-21513, để xâm nhập mục tiêu quan trọng. Các nhà nghiên cứu ghi nhận hạ tầng được chuẩn bị từ ngày 12/1/2026 – chính xác hai tuần trước khi CVE-2026-21509 được công khai.

Vào cuối tháng 2/2026, Akamai tiết lộ APT28 có khả năng đã khai thác CVE-2026-21513 dưới dạng zero-day, dựa trên file Microsoft Shortcut (.LNK) được tải lên VirusTotal ngày 30/1/2026 – sớm hơn nhiều so với bản vá Patch Tuesday của Microsoft ngày 10/2/2026.

Mô hình khai thác zero-day liên tục này cho thấy nhóm đe dọa đã nắm thông tin chi tiết về các lỗ hổng trước khi Microsoft công bố. Điểm trùng lặp đáng chú ý giữa hai chiến dịch là tên miền wellnesscaremed[.]com, khiến các nhà nghiên cứu đánh giá APT28 đang ghép nối hai lỗ hổng thành một chuỗi tấn công hai giai đoạn tinh vi.

Trend Micro nhận định: “Lỗ hổng đầu tiên CVE-2026-21509 buộc hệ thống nạn nhân tải về file .LNK độc hại, sau đó lỗ hổng thứ hai CVE-2026-21513 được khai thác để vượt qua các tính năng bảo mật và thực thi payload mà không gây ra cảnh báo cho người dùng.”

Phân tích kỹ thuật bộ mã độc PRISMEX

Các cuộc tấn công cuối cùng triển khai MiniDoor (Outlook email stealer) hoặc bộ thành phần mã độc liên kết với nhau mang tên PRISMEX – được đặt tên theo kỹ thuật steganography dùng để che giấu payload trong file hình ảnh. Các thành phần chính bao gồm:

Thành phần

     Loại

Mô tả chức năng

PrismexSheet

 Excel Dropper Sử dụng VBA macros để trích xuất payload ẩn trong tệp ảnh, thiết lập sự diện diện qua COM hijacking.

PrismexDrop

 Native Dropper Chuẩn bị môi trường thực thi và duy trì quyền truy cập bằng Scheduled Tasks.

PrismexLoader

 Proxy DLL Trích xuất payload .NET từ cấu trúc file ảnh PNG bằng thuật toán tùy chỉnh “Bit Plane Round Robin”.

PrismexStager

 C2 Implant Sử dụng framework Covenant để giao tiếp với máy chủ chỉ huy thông qua dịch vụ lưu trữ Filen.io.

Các nhà nghiên cứu của Zscaler ghi nhận thấy sự kế thừa rõ rệt trong kho vũ khí của APT28. Cụ thể, PrismexStager là phiên bản mở rộng của các backdoor MiniDoor và NotDoor từng xuất hiện cuối năm 2025. Những kỹ thuật này có mối liên hệ mật thiết với Operation Neusploit và xu hướng lạm dụng framework Covenant mà CERT-UA đã từng cảnh báo từ hơn một năm trước.

Điểm khác biệt nguy hiểm của chiến dịch này nằm ở khả năng tùy biến payload tùy theo mục tiêu. Ghi nhận thực tế từ sự cố tháng 10/2025 cho thấy payload Covenant Grunt đã tích hợp đồng thời cả tác vụ thu thập tình báo lẫn lệnh Wiper phá hoại. Sự kết hợp này cho phép kẻ tấn công chuyển trạng thái từ gián điệp sang xóa sạch dữ liệu người dùng một cách nhanh chóng, minh chứng cho một chiến dịch có mức độ rủi ro cực lớn.

Cụ thể, mã độc có khả năng kích hoạt quy trình xóa dữ liệu hàng loạt trên thư mục %USERPROFILE%, gây tê liệt hoàn toàn hệ thống nạn nhân. Sự kết hợp giữa khả năng xâm nhập kín đáo và hành vi phá hoại công khai cho thấy APT28 đã sẵn sàng cho các chiến dịch tấn công hỗn hợp, nhắm thẳng vào sự ổn định của hạ tầng trọng yếu.

Trend Micro nhận định rằng Pawn Storm vẫn là một trong những nhóm xâm nhập được Nga hậu thuẫn hung hãn và tích cực nhất hiện nay. Mô hình nhắm mục tiêu của chiến dịch cho thấy rõ ý đồ chiến lược nhằm làm suy yếu chuỗi cung ứng cũng như khả năng lập kế hoạch hoạt động của Ukraine và các đối tác NATO.

Việc tập trung chiến lược vào chuỗi cung ứng, dịch vụ thời tiết và các hành lang nhân đạo hỗ trợ Ukraine thể hiện sự chuyển hướng rõ nét sang gây rối loạn hoạt động, có thể báo trước những hành động phá hoại quy mô lớn hơn trong tương lai.

Khuyến nghị từ chuyên gia bảo mật

Để bảo vệ tổ chức trước các biến thể tấn công của APT28, chúng tôi khuyến nghị các đơn vị thực hiện ngay các biện pháp sau:

  • Cập nhật hệ thống: Ưu tiên cài đặt các bản vá bảo mật mới nhất từ Microsoft, đặc biệt là các bản vá liên quan đến xử lý tệp .LNK và Microsoft Office.
  • Kiểm soát ứng dụng: Vô hiệu hóa hoặc hạn chế quyền thực thi Macro trong bộ Office nếu không thực sự cần thiết.
  • Giám sát mạng: Theo dõi các lưu lượng truy cập bất thường đến các dịch vụ lưu trữ đám mây công cộng (như Filen.io) từ các máy trạm không có nhu cầu sử dụng.
  • Đào tạo nhân sự: Nâng cao cảnh giác với các email có tiêu đề liên quan đến hậu cần, quân sự hoặc danh mục thiết bị từ các nguồn không xác thực.

Nguồn: The Hacker News