MalwareHackerangriffeSchwachstellen

APT28 setzt neue PRISMEX-Malware gegen Ukraine und NATO-Verbündete ein

APT28 setzt neue PRISMEX-Malware gegen Ukraine und NATO-Verbündete ein
Zusammenfassung

Die russische Hackergruppe APT28, auch unter den Namen Forest Blizzard und Pawn Storm bekannt, führt eine gezielte Spear-Phishing-Kampagne durch, die Ukraine und ihre NATO-Verbündeten mit der neu entdeckten Malware PRISMEX ins Visier nimmt. Die Kampagne, die mindestens seit September 2025 aktiv ist, nutzt eine ausgefeilte Kombination aus Steganographie, COM-Hijacking und dem Missbrauch legitimer Cloud-Dienste für Fernzugriff und Kontrolle. Besonders bemerkenswert ist die schnelle Exploitation von Zero-Day-Schwachstellen wie CVE-2026-21509 und CVE-2026-21513, wobei APT28 offenbar bereits Wochen vor der öffentlichen Bekanntmachung über diese Lücken verfügte. Die Angriffe richten sich gegen kritische Infrastrukturen in der Ukraine sowie in Polen, Rumänien, Slowenien, der Türkei, der Slowakei und der Tschechischen Republik – einschließlich Verteidigungsministerien, Logistik-Partner und NATO-Institutionen. Für deutsche Behörden und Unternehmen mit NATO-Bezug oder kritischer Infrastruktur bedeutet dies eine erhöhte Bedrohungslage. Die duale Funktionalität der Malware für Spionage und Sabotage deutet auf ein strategisches Ziel hin: die Zerstörung von Versorgungsketten und Einsatzfähigkeiten westlicher Unterstützer der Ukraine.

Die Hackergruppe APT28 zeigt sich erneut als eine der aggressivsten russischen Bedrohungen im Cyberspace. In einer umfassenden Kampagne, die Trend Micro-Forscher Feike Hacquebord und Hiroyuki Kakara dokumentiert haben, werden Spear-Phishing-E-Mails verwendet, um die neue Malware PRISMEX zu verbreiten. Diese Malware-Suite zeichnet sich durch ihre technische Raffinesse aus: Sie nutzt fortgeschrittene Steganografie-Techniken, um Schadcode in Bilddateien zu verstecken, manipuliert COM-Objekte im Windows-System und missbraucht legitime Cloud-Services zur Kommunikation mit den Angreifern.

Besonders bemerkenswert ist die Geschwindigkeit, mit der APT28 neu entdeckte Sicherheitslücken ausnutzt. Die Gruppe setzte die Schwachstellen CVE-2026-21509 und CVE-2026-21513 bereits ein, bevor Microsoft diese Anfang 2026 öffentlich machte. Recherchen deuten darauf hin, dass die Angreifer bereits zwei Wochen vor der offiziellen Bekanntgabe eine entsprechende Infrastruktur aufgebaut hatten. Dies weist auf umfangreiche Vorab-Kenntnisse hin — möglicherweise durch Geheimdienstinformationen oder Insider.

Die Angriffskette funktioniert in zwei Stufen: Die erste Schwachstelle zwingt das Opfersystem, eine bösartige LNK-Datei herunterzuladen, die dann die zweite Lücke ausnutzt, um Sicherheitsmechanismen zu umgehen und Code ohne Benutzerwarnung auszuführen. Am Ende dieser Angriffskette steht entweder MiniDoor, ein Outlook-Passwort-Dieb, oder die vollständige PRISMEX-Suite.

Die betroffenen Ziele sind strategisch bedeutsam: Ukraine, Polen, Rumänien, Slowenien, Türkei, Slowakei und Tschechien wurden ins Visier genommen. In den Behörden und Unternehmen dieser Länder arbeitet APT28 gezielt gegen zentrale Verwaltungsstrukturen, Verteidigungssektoren, Wetterdienste und Logistikpartner von Munitionslieferungen. In mindestens einem Fall im Oktober 2025 kombinierte APT28 Spionage mit destruktiven Wiper-Befehlen, die Nutzerdaten vollständig löschten.

CERT-UA und andere Sicherheitsforscher hatten Teile dieser Kampagne zuvor unter dem Namen Operation Neusploit dokumentiert. APT28 nutzt dabei auch COVENANT, ein Open-Source-Command-and-Control-Framework, das bereits im Juni 2025 identifiziert wurde.

Für Deutschland und andere NATO-Staaten ist diese Entwicklung ein Alarmsignal. Die strategische Ausrichtung auf Lieferketten, kritische Infrastrukturen und NATO-Logistik deutet auf eine Eskalation hin — von reiner Spionage zu destabilisierenden Angriffen.

Ähnliche Artikel