O grupo de cibercriminosos APT28, ligado ao governo russo, foi identificado em uma nova operação que visa organizações na Europa Ocidental e Central. Esta campanha, denominada “Operação MacroMaze”, esteve ativa entre setembro de 2025 e janeiro de 2026, conforme relatado pela equipe de inteligência da S2 Grupo, LAB52.
O ataque utiliza e-mails de phishing para distribuir documentos que contêm um elemento estrutural comum em seu XML, chamado “INCLUDEPICTURE”. Este elemento aponta para um URL do webhook[.]site que hospeda uma imagem JPG. Quando o documento é aberto, a imagem é carregada do servidor remoto, funcionando como um mecanismo de rastreamento que envia uma solicitação HTTP ao URL do webhook, permitindo que o operador do servidor registre metadados associados à solicitação.
Entre setembro de 2025 e janeiro de 2026, foram identificados vários documentos com macros levemente modificadas, todas atuando como dropper para estabelecer uma presença no host comprometido e entregar cargas adicionais. Embora a lógica central das macros permaneça consistente, as técnicas de evasão evoluíram, desde a execução de navegador em modo “headless” até o uso de simulação de teclado (SendKeys) para potencialmente contornar prompts de segurança.
As macros são projetadas para executar um script VBScript que avança a infecção, executando um arquivo CMD para estabelecer persistência através de tarefas agendadas e lançar um script em lote que renderiza uma pequena carga útil HTML codificada em Base64 no Microsoft Edge em modo “headless”. Isso permite evadir a detecção, recuperar comandos do endpoint webhook[.]site, executá-los, capturar a saída e exfiltrá-la para outra instância do webhook[.]site como um arquivo HTML.
Uma variante do script em lote evita a execução “headless” ao mover a janela do navegador para fora da tela e encerrar agressivamente todos os outros processos do navegador Edge para garantir um ambiente controlado. Quando o arquivo HTML resultante é renderizado pelo Microsoft Edge, o formulário é submetido, causando a exfiltração da saída do comando coletado para o endpoint remoto do webhook sem interação do usuário.
Fonte:https://thehackernews.com/2026/02/apt28-targeted-european-entities-using.html
