La última campaña de Pawn Storm se dirige a entidades del sector público e infraestructura crítica de Ucrania y sus aliados mediante la implementación de la suite de malware PRISMEX. Según Trend Micro Research, este grupo APT ha estado activo desde al menos septiembre de 2025, con un notable escalado observado en enero de 2026. PRISMEX combina una avanzada steganografía, el aprovechamiento ilegal del Component Object Model (COM) y el abuso de servicios en la nube para comandos y control.
PRISMEX explota múltiples vulnerabilidades, incluyendo el confirmado Windows zero-day CVE-2026-21513 y la vulnerabilidad de Microsoft Office CVE-2026-21509. Trend Micro observó que las preparaciones en infraestructura comenzaron dos semanas antes del anuncio de CVE-2026-21509, lo que indica un conocimiento avanzado de la vulnerabilidad.
La investigación de TrendAI™ identificó tres componentes dentro de PRISMEX: PrismexDrop (dropper), PrismexLoader (cargador de steganografía) y PrismexStager (implante Covenant Grunt). Estos componentes están diseñados para evadir los sistemas modernos de detección y respuesta a eventos del punto final (EDR), utilizando la ejecución sin archivos y una steganografía avanzada. Las campañas que emplean PrismexStager sugieren un enfoque estratégico por parte del grupo APT.
La continua atención de Pawn Storm a Ucrania y sus aliados subraya su reputación como amenaza agresiva de espionaje cibernético e incluso sabotaje, destacando la necesidad de estrategias robustas para el manejo de riesgos entre las entidades objetivo.