Microsoft no reaccionó a tiempo; los hackers sí: una vulnerabilidad zero-day en Office permitió infiltrarse en la infraestructura europea
Por qué a los ciberdelincuentes les interesan los datos (o los mapas) de lluvia y viento
El grupo Pawn Storm lanzó una nueva campaña con la cadena de malware PRISMEX y se dirigió a estructuras de las que dependen los suministros de ayuda, el transporte y la infraestructura crítica en Ucrania y en países de Europa Central y del Este. Según los datos de Trend Micro, fueron atacadas cadenas de defensa, logística, servicios meteorológicos y organizaciones estatales, lo que indica interés no solo por el espionaje, sino también por la posible interrupción del funcionamiento de sistemas clave.
La actividad del grupo continúa al menos desde septiembre de 2025 y se intensificó en enero de 2026. Además de Ucrania, se registraron objetivos en la República Checa, Polonia, Rumanía, Eslovaquia, Eslovenia y Turquía, principalmente en los sectores de logística militar, transporte y administración pública.
PRISMEX consiste en una cadena de componentes: un dropper, un cargador y un módulo de control. El código malicioso se oculta dentro de imágenes y se ejecuta en memoria sin escribir en el disco, lo que dificulta su detección. La persistencia se logra mediante la toma de objetos del modelo de componentes de Windows, y el control del tráfico se disfraza como servicios en la nube legítimos. La fase final se apoya en la herramienta Covenant.
En el ataque se explotó la vulnerabilidad CVE-2026-21509 en Microsoft Office. Un archivo RTF especialmente preparado obliga al sistema a conectarse a un servidor remoto y descargar un archivo .lnk malicioso sin acciones adicionales del usuario. Es posible una conexión con CVE-2026-21513 en MSHTML: una muestra para esta última usó la misma infraestructura, aunque Trend Micro no lo confirmó directamente.
La preparación de la infraestructura comenzó el 12 de enero de 2026, dos semanas antes de la divulgación de CVE-2026-21509. El exploit para CVE-2026-21513 apareció el 30 de enero, mientras que la corrección se publicó solo el 10 de febrero, lo que indica el uso de la vulnerabilidad de día cero durante 11 días.
Las campañas se propagaron mediante correos dirigidos con asuntos sobre alertas meteorológicas, programas militares y contrabando de armas. Anteriormente los atacantes disfrazaron archivos como listas de drones, listas de precios y formularios de suministro, lo que indica interés en unidades relacionadas con drones y logística.
Trend Micro señala no solo funciones de espionaje, sino también capacidades destructivas. En actividad previa se registró un comando para borrar todos los archivos del usuario. Esto sugiere la posibilidad de pasar del reconocimiento al sabotaje, especialmente en el contexto de ataques contra nodos de transporte y servicios meteorológicos.
La nueva campaña muestra un desplazamiento del foco hacia la infraestructura que garantiza los suministros militares y humanitarios. Los datos meteorológicos son importantes para los drones y la artillería, el ferrocarril polaco sirve como un tránsito clave para la ayuda, y las rutas de transporte de Rumanía, Eslovenia y Turquía proveen entregas alternativas.
PRISMEX demuestra la combinación de nuevas vulnerabilidades, carga oculta de código y uso de servicios de confianza. Para las organizaciones de los sectores de defensa, transporte y administración pública, este enfoque supone un riesgo aumentado, ya que los ataques se vuelven menos visibles y se consolidan más rápido dentro de la infraestructura.