Besonders bemerkenswert ist das Tempo, mit dem APT28 neue Schwachstellen einsatzfähig macht. Trend Micro beobachtete am 12. Januar 2026 die Vorbereitung der Infrastruktur — genau zwei Wochen, bevor CVE-2026-21509 öffentlich bekannt wurde.
Akamai berichtete in diesem Jahr, dass APT28 CVE-2026-21513 möglicherweise als Zero-Day ausgenutzt habe. Grundlage ist ein Exploit für eine Microsoft-Verknüpfungsdatei (LNK), die am 30. Januar 2026 bei VirusTotal hochgeladen wurde — deutlich bevor Microsoft am 10. Februar 2026 im Rahmen des Patch Tuesday einen Fix veröffentlichte. Dieses Muster deutet darauf hin, dass die Gruppe vor der Offenlegung durch Microsoft Kenntnis von den Schwachstellen hatte.
Eine Überschneidung zwischen den beiden Kampagnen ist die Domain „wellnesscaremed[.]com". Zusammen mit dem zeitlichen Ablauf der Exploits legt dies nahe, dass die Angreifer CVE-2026-21513 und CVE-2026-21509 zu einer zweistufigen Angriffskette verketten. Laut Trend Micro zwingt die erste Schwachstelle (CVE-2026-21509) das System des Opfers dazu, eine schädliche LNK-Datei abzurufen, die dann über die zweite Schwachstelle (CVE-2026-21513) Sicherheitsfunktionen umgeht und Schadcode ohne Warnhinweise ausführt.
Am Ende der Angriffe steht entweder MiniDoor, ein Schadprogramm zum Auslesen von Outlook-E-Mails, oder die untereinander verbundenen Komponenten von PRISMEX. Der Name verweist auf eine steganografische Technik, mit der Schadcode in Bilddateien versteckt wird. Teile der Kampagne hatte zuvor Zscaler ThreatLabz unter der Bezeichnung Operation Neusploit dokumentiert.
Den Einsatz des quelloffenen Command-and-Control-Frameworks COVENANT durch APT28 hatte das ukrainische CERT-UA erstmals im Juni 2025 beschrieben. PrismexStager gilt als Weiterentwicklung von MiniDoor und NotDoor (auch GONEPOSTAL), einer Outlook-Hintertür, die die Gruppe Ende 2025 einsetzte.
Bei mindestens einem Vorfall im Oktober 2025 diente die COVENANT-Grunt-Komponente nicht nur dem Sammeln von Informationen: Sie führte auch einen zerstörerischen Wiper-Befehl aus, der sämtliche Dateien im Verzeichnis „%USERPROFILE%" löscht. Diese doppelte Funktion stützt die Annahme, dass die Kampagnen sowohl auf Spionage als auch auf Sabotage ausgelegt sein könnten.
Trend Micro bezeichnet Pawn Storm als eine der aggressivsten russlandnahen Angreifergruppen. Das Angriffsmuster zeige die strategische Absicht, die Lieferketten und die operativen Planungskapazitäten der Ukraine und ihrer NATO-Partner zu kompromittieren. Der Fokus auf Lieferketten, Wetterdienste und humanitäre Korridore stelle eine Verlagerung hin zur betrieblichen Störung dar, die möglicherweise zerstörerischeren Aktivitäten vorausgehe.
