Um ator de ameaça patrocinado pelo governo russo, identificado como APT28, foi responsabilizado por uma nova campanha direcionada a entidades específicas na Europa Ocidental e Central.
De acordo com a equipe de inteligência de ameaças LAB52, do S2 Grupo, a atividade ocorreu entre setembro de 2025 e janeiro de 2026, recebendo o codinome Operation MacroMaze.
A empresa de cibersegurança destacou que a campanha utiliza ferramentas básicas e explora serviços legítimos para montar sua infraestrutura e exfiltrar dados.
A cadeia de ataques começa com e-mails de spear-phishing que distribuem documentos isca contendo um elemento comum na estrutura XML: o campo "INCLUDEPICTURE".
Esse campo aponta para uma URL do tipo webhook[.]site que hospeda uma imagem JPG.
Assim, ao abrir o documento, o arquivo de imagem é requisitado no servidor remoto.
Em outras palavras, esse mecanismo atua como um beacon, semelhante a um pixel de rastreamento, que dispara uma requisição HTTP para a URL do webhook assim que o documento é aberto.
O operador do servidor pode então registrar metadados associados à solicitação, confirmando o acesso do destinatário ao arquivo.
O LAB52 identificou múltiplos documentos com macros levemente modificadas ao longo do período analisado.
Esses documentos funcionam como droppers, estabelecendo um ponto de apoio na máquina comprometida para entregar cargas maliciosas adicionais.
Embora a lógica central das macros permaneça consistente, os scripts evoluíram nas técnicas de evasão.
O método mais antigo executava um navegador em modo “headless”; as versões mais recentes usam simulação de teclado (SendKeys) para tentar contornar prompts de segurança, conforme explicou a empresa espanhola.
A macro executa um script em Visual Basic (VBScript) que aciona um arquivo CMD.
Esse arquivo cria persistência por meio de tarefas agendadas e inicia um script batch que carrega um pequeno payload HTML codificado em Base64 no Microsoft Edge, também em modo headless, para evitar detecção.
O script recupera comandos do endpoint webhook[.]site, executa-os, captura a saída e exfiltra os dados de volta para outra instância do webhook, em formato HTML.
Uma segunda variante do script batch evita o modo headless e, em vez disso, move a janela do navegador para fora da tela.
Em seguida, encerra agressivamente todos os outros processos do Edge, garantindo um ambiente controlado para a execução.
Quando o arquivo HTML é renderizado no Edge, um formulário é submetido automaticamente, exfiltrando a saída dos comandos ao endpoint remoto sem qualquer interação do usuário.
Essa técnica de exfiltração baseia-se nas funcionalidades padrão do HTML, minimizando rastros detectáveis no disco.
A campanha demonstra que a simplicidade pode ser uma ferramenta poderosa.
O atacante usa recursos muito básicos — arquivos batch, pequenos lançadores VBS e HTML simples — combinados de forma cuidadosa para maximizar a furtividade.
As operações são deslocadas para sessões de navegador ocultas ou fora da tela, com limpeza de artefatos e terceirização tanto da entrega das cargas quanto da exfiltração dos dados para serviços webhook amplamente utilizados.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...