Eskalasi ancaman siber global kini tengah memuncak melalui kampanye terbaru dari APT28 (alias Fancy Bear atau Forest Blizzard). Sejak terdeteksi pada September 2025, operasi ini menunjukkan lonjakan aktivitas pada Januari 2026 dengan fokus serangan pada infrastruktur pertahanan Ukraina serta jalur logistik bantuan militer dan kemanusiaan NATO. Agresi ini mempertegas pola serangan sistematis yang telah dijalankan kelompok tersebut sejak tahun 2014.
Aktor ancaman yang berafiliasi dengan Rusia ini kembali membuktikan kapabilitas teknisnya dalam memanfaatkan zero-day exploit. Melalui kerentanan Microsoft Office berkode CVE-2026-21509 - Base Score: 7.8 HIGH, mereka melancarkan serangan presisi terhadap sektor pemerintahan, militer, dan infrastruktur vital di Eropa Tengah serta Timur. Yang mengkhawatirkan, penyiapan infrastruktur serangan terpantau telah dimulai dua minggu sebelum celah keamanan tersebut diumumkan secara resmi, sebuah indikasi kuat adanya akses awal terhadap rincian eksploitasi.
Selain CVE-2026-21509, indikasi kuat juga mengarah pada eksploitasi kerentanan kedua, yaitu CVE-2026-21513 - Base Score: 8.8 HIGH, yang berkaitan dengan bypass fitur keamanan dalam framework MSHTML milik Microsoft. Sampel eksploitasi untuk kerentanan ini terdeteksi di platform publik sebelum patch resmi dirilis, menunjukkan adanya eksploitasi zero-day di lingkungan nyata. Pola ini memperkuat dugaan bahwa pelaku memiliki kapabilitas intelijen yang memungkinkan mereka mengakses informasi kerentanan sebelum dipublikasikan secara luas.
Rantai serangan dimulai melalui teknik spear-phishing yang menargetkan individu dalam organisasi tertentu dengan email yang tampak kredibel. Subjek email sering kali berkaitan dengan isu-isu strategis seperti peringatan hidro-meteorologi, undangan program pelatihan militer, atau laporan penyelundupan senjata. Lampiran berupa dokumen RTF berbahaya menjadi titik awal eksploitasi, di mana ketika dibuka, dokumen tersebut memicu kerentanan CVE-2026-21509.
Eksploitasi ini memungkinkan bypass terhadap mekanisme keamanan OLE dan memaksa sistem korban untuk mengakses server WebDAV eksternal. Dari sini, sistem secara otomatis mengeksekusi file shortcut berbahaya dengan ekstensi .lnk. Dalam skenario yang diduga melibatkan CVE-2026-21513, file .lnk tersebut kemudian memanfaatkan teknik manipulasi DOM dan iframe bertingkat untuk mengeksekusi payload tanpa memunculkan peringatan keamanan kepada pengguna.
Terdapat konsistensi yang jelas pada infrastruktur command-and-control (C2) di seluruh rangkaian serangan, ditandai dengan penggunaan domain komunikasi yang tumpang tindih. Temuan ini mendukung teori bahwa aktor tersebut mengintegrasikan kedua kerentanan ke dalam satu exploit chain yang kompleks. Walaupun validasi eksternal masih terbatas, keselarasan waktu dan aset infrastruktur menjadi bukti kuat adanya keterkaitan operasional.
Operasi ini mengandalkan dua jalur payload utama, di mana PRISMEX muncul sebagai rangkaian malware yang paling dominan. Dengan arsitektur modular, PRISMEX memastikan infeksi tetap bertahan di sistem secara sinkron. Malware ini juga menggunakan teknik steganografi, menyisipkan kode jahat ke dalam gambar sebagai taktik kamuflase yang sangat efektif untuk mengecoh deteksi antivirus tradisional yang tidak menduga adanya ancaman di dalam file non-eksekutif.
Komponen pertama, PrismexSheet, merupakan dropper berbasis Excel yang menggunakan macro VBA untuk mengekstrak payload tersembunyi dari dalam file. Selanjutnya, PrismexDrop bertugas menyiapkan lingkungan sistem dan membangun persistensi melalui teknik COM hijacking. Tahap berikutnya melibatkan PrismexLoader, yang menggunakan algoritma khusus bernama Bit Plane Round Robin untuk mengekstrak payload dari gambar PNG. Tahap akhir adalah PrismexStager, yang menggunakan framework open-source Covenant untuk membangun komunikasi terenkripsi dengan server C&C melalui layanan cloud yang sah.
Penggunaan Covenant dalam konteks ini bukan hal baru, namun integrasinya dengan eksploitasi kerentanan terbaru menunjukkan peningkatan signifikan dalam kecepatan adaptasi kelompok ini. Framework tersebut memungkinkan komunikasi yang terenkripsi dan fleksibel, serta mendukung eksekusi payload secara dinamis tanpa meninggalkan jejak file di sistem, sebuah pendekatan yang dikenal sebagai fileless execution.
Operasi ini mengungkap adanya integrasi dengan ekosistem malware yang lebih luas, khususnya NotDoor yang sempat dianalisis pada awal 2025. PRISMEX diidentifikasi sebagai evolusi dari kerangka kerja tersebut, yang kini memperluas jangkauannya dengan mengintegrasikan vektor infeksi melalui eksploitasi celah keamanan terbaru. Fenomena ini merefleksikan pergeseran strategi aktor ancaman yang kini memprioritaskan fleksibilitas operasional dan keberlanjutan akses jangka panjang di atas sekadar eksploitasi teknis sesaat.
Dari sisi target, kampanye ini menunjukkan fokus strategis pada rantai pasok pertahanan Ukraina. Sektor yang disasar mencakup lembaga eksekutif pusat, layanan darurat, institusi meteorologi, serta entitas militer. Data meteorologi, misalnya, memiliki peran penting dalam perencanaan operasi militer seperti penyesuaian tembakan artileri dan navigasi drone. Dengan mengakses informasi ini, pelaku dapat memperoleh keuntungan taktis di lapangan.
Di luar Ukraina, negara-negara yang berperan sebagai jalur logistik bantuan militer juga menjadi target. Polandia, sebagai hub utama transportasi darat, serta Romania, Slovenia, dan Turki yang memiliki peran dalam jalur laut dan distribusi regional, termasuk dalam cakupan serangan. Negara-negara seperti Slovakia dan Republik Ceko yang terlibat dalam dukungan logistik dan politik juga tidak luput dari perhatian.
Pemilihan target dan teknik rekayasa sosial yang digunakan menunjukkan pemahaman mendalam terhadap struktur organisasi dan pola komunikasi antar lembaga. Email yang tampak berasal dari institusi terpercaya seperti kepolisian perbatasan atau lembaga meteorologi meningkatkan kemungkinan korban membuka lampiran berbahaya. Pendekatan ini menegaskan bahwa aspek manusia tetap menjadi titik lemah utama dalam banyak serangan siber.
Laporan dari berbagai organisasi seperti CERT-UA, Zscaler ThreatLabz, dan Synaptic Systems memberikan perspektif tambahan yang memperkuat analisis terhadap kampanye ini. Masing-masing menyoroti aspek berbeda, mulai dari teknik eksploitasi hingga infrastruktur dan payload yang digunakan. Konsistensi temuan antar lembaga ini memperkuat validitas analisis dan menunjukkan skala serta kompleksitas operasi yang dijalankan.
Rangkaian serangan ini mencerminkan lonjakan kapabilitas APT28 yang kian canggih. Integrasi cepat antara kerentanan zero-day dengan sistem PRISMEX yang modular menunjukkan bahwa musuh bekerja dengan sangat terencana. Organisasi yang terhubung dengan ekosistem pertahanan Ukraina harus melihat kampanye ini sebagai peringatan serius. Strategi pertahanan kini tidak bisa lagi hanya bersifat reaktif, melainkan harus mengutamakan respons cepat dan mitigasi berlapis untuk menghadapi ancaman yang kian dinamis.
Sumber:
Zscaler ThreatLabz - APT28 Leverages CVE-2026-21509 in Operation Neusploit
Synaptic Systems - Geofencing as a Targeting Signal (CVE-2026-21509 Campaign)