APT28连爆2个零日漏洞，新木马PRISMEX专偷北约邮件

2026年1月12日，俄罗斯黑客组织APT28注册了域名"wellnesscaremed.com"。14天后，微软才公开披露CVE-2026-21509漏洞。这种时间差不是运气——是提前拿到了漏洞情报。

Trend Micro研究员Feike Hacquebord和Hiroyuki Kakara在报告中指出，该组织自2025年9月起持续活跃，目标覆盖乌克兰中央执行机构、国防、应急服务，以及波兰铁路物流、罗马尼亚海运、斯洛伐克弹药物流伙伴等北约关联实体。

攻击链的设计堪称精密。第一阶段利用CVE-2026-21509强制受害者系统下载恶意.LNK文件，第二阶段通过CVE-2026-21513绕过安全警告直接执行载荷。两个漏洞串联使用，中间几乎没有给用户留反应窗口。

PRISMEX的技术拆解：把恶意代码藏进Excel的图片里

这套新恶意软件家族的核心是"隐写术"——一种把数据藏进图片像素的古老技术。APT28把它做成了现代武器。

PrismexSheet是入口组件：一个带VBA宏的恶意Excel文件。用户启用宏后，它从表格内嵌的图片中提取隐藏载荷，通过COM劫持建立持久化，同时弹出一份无人机库存清单的诱饵文档。整个过程看起来就像正常打开了一份采购表格。

PrismexDrop负责环境准备，为后续渗透铺平道路。PrismexMain是主模块，PrismexLoader则专门处理载荷加载。四个组件分工明确，像一条微型流水线。

命令控制环节更隐蔽：直接滥用合法云服务。流量混在正常云通信里，传统网络监控很难识别。

零日漏洞的"期货"生意

Akamai在2025年2月底的披露揭示了更危险的信号。APT28早在2026年1月30日就将CVE-2026-21513的利用样本上传至VirusTotal，比微软2月10日的补丁发布早了11天。

这不是简单的漏洞利用，而是漏洞的"期货"交易——攻击者必须在微软修复前完成武器化、投递、执行全流程。窗口期以天计算，容错率极低。

APT28选择这个时间点并非偶然。2025年底至2026年初，北约对乌克兰的弹药物流和装备支援进入高频期。铁路调度、海运航线、无人机采购清单——这些正是PRISMEX重点窃取的数据类型。

攻击者把钓鱼邮件的主题精准匹配到目标机构的日常业务：波兰铁路员工收到货运调度通知，罗马尼亚港口人员看到船舶到港清单，斯洛伐克物流商打开弹药运输协调表。

隐写术的复活与COM劫持的老套路

PRISMEX的技术选择透露出一种实用主义。隐写术在APT28的历史武器库中并不常见，但对付现代EDR（终端检测响应）系统意外有效——静态扫描看到的是一张普通PNG，动态行为监控触发的是Excel宏，中间层几乎透明。

COM劫持则是老手艺：篡改Windows组件对象模型的注册表项，让系统启动时自动加载恶意DLL。这种 persistence（持久化）方式从Windows 95时代延续至今，因为微软无法彻底废弃COM架构而始终有效。

新旧技术叠加，形成了一种"低信号"攻击特征：单看任何一层都不足以触发高级告警，组合起来却能穿透多层防御。

北约邮件成核心目标

MiniDoor是PRISMEX的替代载荷，功能单一但精准：窃取Outlook邮件。不搞键盘记录，不偷浏览器密码，专攻邮件——因为北约成员国的物流协调、装备调拨、会议安排，大多通过邮件确认。

一份被窃的无人机采购邮件，可能暴露交付时间、运输路线、接收单位。APT28不需要攻破整个北约网络，只需要在关键节点持续收集这些"后勤情报"。

Trend Micro没有披露具体感染数量，但指出攻击基础设施在2026年1月已就绪，而漏洞公开时间是1月26日。这意味着至少有两周的"静默收割期"，目标机构在毫无防备的状态下运行着带漏洞的系统。

目前微软已发布补丁，但补丁覆盖率和实际修复进度仍是未知数。对于那些处理敏感物流数据的机构来说，一个更现实的问题是：如果攻击者已经拿到了2026年的零日漏洞，2027年的又会在什么时候出现？