APT28 Serang Ukraina dan Sekutu NATO dengan Malware PRISMEX Menggunakan Zero-Day

APT28, kelompok ancaman siber yang dikenal juga dengan nama Forest Blizzard dan Pawn Storm, telah melancarkan kampanye spear-phishing baru yang menargetkan Ukraina serta sekutu NATO dengan menggunakan malware canggih yang belum pernah didokumentasikan sebelumnya, bernama PRISMEX.

Menurut laporan teknis dari peneliti Trend Micro, Feike Hacquebord dan Hiroyuki Kakara, "PRISMEX menggabungkan teknik steganografi canggih, pembajakan Component Object Model (COM), dan penyalahgunaan layanan cloud resmi untuk sistem komando dan kendali (C2)." Kampanye ini diperkirakan telah aktif sejak September 2025.

Target Serangan dan Sektor yang Disasar

APT28 menyasar berbagai sektor penting di Ukraina, termasuk badan eksekutif pusat, hidrometeorologi, pertahanan, dan layanan darurat. Tak hanya itu, serangan ini meluas ke mitra logistik seperti sektor kereta api di Polandia, maritim dan transportasi di Rumania, Slovenia, dan Turki, serta dukungan logistik terkait amunisi di Slovakia dan Republik Ceko. Korban lainnya juga termasuk militer dan mitra NATO.

Eksploitasi Zero-Day dan Dua Kerentanan Utama

Kampanye ini menonjol karena pemanfaatan cepat celah keamanan baru yang belum lama dipublikasikan, yaitu CVE-2026-21509 dan CVE-2026-21513. Penyiapan infrastruktur serangan bahkan terdeteksi sejak 12 Januari 2026, tepat dua minggu sebelum pengumuman resmi kerentanan pertama.

Dalam laporan sebelumnya, Akamai mengungkap bahwa APT28 kemungkinan telah mengeksploitasi CVE-2026-21513 sebagai zero-day melalui eksploitasi Microsoft Shortcut (LNK) yang diunggah ke VirusTotal pada 30 Januari 2026, jauh sebelum Microsoft merilis perbaikannya pada 10 Februari 2026. Pola ini menunjukkan bahwa kelompok ini memiliki pengetahuan lanjutan tentang kerentanan tersebut sebelum diumumkan ke publik.

Salah satu kesamaan menarik dari dua kampanye eksploitasi ini adalah domain "wellnesscaremed[.]com". Kombinasi ini mengindikasikan kemungkinan bahwa APT28 menggabungkan kedua kerentanan tersebut menjadi rantai serangan bertahap yang rumit.

"Kerentanan pertama (CVE-2026-21509) memaksa sistem korban untuk mengambil file .LNK berbahaya, yang kemudian mengeksploitasi kerentanan kedua (CVE-2026-21513) untuk melewati fitur keamanan dan menjalankan payload tanpa peringatan pengguna," jelas Trend Micro.

Komponen Malware PRISMEX

Serangan ini berujung pada penyebaran MiniDoor, pencuri email Outlook, atau rangkaian malware PRISMEX yang dikemas dengan teknik steganografi untuk menyembunyikan payload dalam file gambar. Komponen utama PRISMEX meliputi:

• PrismexSheet: Dropper Excel berbahaya dengan makro VBA yang mengekstrak payload tersembunyi menggunakan steganografi, mempertahankan keberadaan melalui pembajakan COM, dan menampilkan dokumen palsu terkait inventaris drone setelah makro diaktifkan.
• PrismexDrop: Dropper native yang menyiapkan lingkungan untuk eksploitasi lanjutan serta menggunakan tugas terjadwal dan pembajakan COM DLL untuk keberlangsungan.
• PrismexLoader (PixyNetLoader): Proxy DLL yang mengekstrak payload .NET tahap berikutnya dari struktur file PNG "SplashScreen.png" menggunakan algoritma khusus "Bit Plane Round Robin" dan menjalankannya sepenuhnya di memori.
• PrismexStager: Implant COVENANT Grunt yang menyalahgunakan layanan cloud Filen.io untuk komunikasi C2.

Beberapa aspek kampanye ini sebelumnya telah didokumentasikan oleh Zscaler ThreatLabz dengan nama Operation Neusploit. Penggunaan COVENANT, framework C2 open-source, pertama kali diungkap oleh Computer Emergency Response Team Ukraina (CERT-UA) pada Juni 2025.

PrismexStager diperkirakan merupakan pengembangan dari MiniDoor dan NotDoor (GONEPOSTAL), backdoor Outlook yang digunakan kelompok ini pada akhir 2025.

Motif Spionase dan Sabotase

Dalam satu insiden pada Oktober 2025, payload COVENANT Grunt tidak hanya mengumpulkan informasi tetapi juga menjalankan perintah penghapus (wiper) yang merusak file di direktori "%USERPROFILE%". Kemampuan ganda ini memperkuat dugaan bahwa kampanye tersebut dirancang untuk tujuan spionase sekaligus sabotase.

"Operasi ini menunjukkan bahwa Pawn Storm tetap menjadi salah satu kelompok intrusi paling agresif yang berafiliasi dengan Rusia," kata Trend Micro. "Pola penargetan mengungkapkan niat strategis untuk mengganggu rantai pasokan dan kemampuan perencanaan operasional Ukraina dan sekutu NATO."

Fokus strategis pada layanan cuaca, rantai pasok, dan koridor kemanusiaan yang mendukung Ukraina menandakan pergeseran menuju gangguan operasional yang berpotensi memicu aktivitas lebih destruktif.

Analisis Redaksi

Menurut pandangan redaksi, serangan APT28 dengan malware PRISMEX menandai eskalasi signifikan dalam perang siber yang dilakukan oleh aktor negara terhadap Ukraina dan sekutu NATO. Pemanfaatan zero-day yang cepat dan teknik steganografi canggih menunjukkan tingkat kesiapan dan kemampuan teknis yang sangat tinggi, yang tidak hanya berorientasi pada pencurian data tapi juga pada sabotase infrastruktur kritikal.

Hal ini mengindikasikan bahwa konflik digital tidak lagi terbatas pada spionase konvensional, tetapi sudah berkembang menjadi ancaman nyata terhadap stabilitas operasional militer dan sipil, terutama dalam konteks perang yang sedang berlangsung di Eropa Timur. Pembajakan layanan cloud resmi dan penyalahgunaan framework open-source menunjukkan bagaimana serangan ini memanfaatkan ekosistem digital modern secara maksimal.

Ke depannya, penting bagi negara-negara sekutu NATO dan Ukraina untuk meningkatkan kolaborasi intelijen dan pertahanan siber, serta mempercepat penerapan patch keamanan dan deteksi ancaman guna mencegah kerusakan lebih luas. Perkembangan ini juga harus menjadi peringatan bagi sektor publik dan swasta untuk memperkuat keamanan rantai pasokan mereka terhadap ancaman siber yang semakin canggih.

Untuk informasi lebih lanjut dan pembaruan terkini, kunjungi sumber asli di The Hacker News dan pantau berita dari lembaga keamanan siber terpercaya.