O grupo de ameaças cibernéticas APT28, vinculado ao governo russo, lançou uma nova ofensiva contra entidades na Europa Ocidental e Central. A operação, identificada pela equipe de inteligência da S2 Grupo como “Operation MacroMaze”, ocorreu entre setembro de 2025 e janeiro de 2026.
Os ataques começaram com e-mails de spear-phishing que distribuíam documentos isca. Esses documentos continham um elemento estrutural comum em seu XML, um campo chamado “INCLUDEPICTURE”, que apontava para uma URL de webhook hospedando uma imagem JPG. Quando o documento era aberto, a imagem era carregada de um servidor remoto, funcionando como um mecanismo de rastreamento que enviava uma solicitação HTTP para a URL do webhook, confirmando a abertura do documento pelo destinatário.
Entre setembro de 2025 e janeiro de 2026, foram identificados vários documentos com macros ligeiramente ajustadas, que serviam como dropper para estabelecer uma base no sistema comprometido e entregar cargas adicionais. Embora a lógica central das macros permanecesse consistente, as técnicas de evasão evoluíram, passando de execução de navegador “headless” para simulação de teclado (SendKeys) nas versões mais recentes, visando contornar alertas de segurança.
As macros executavam um script VBScript para avançar a infecção, que por sua vez rodava um arquivo CMD para estabelecer persistência via tarefas agendadas. Um script em lote era então utilizado para renderizar uma carga HTML codificada em Base64 no Microsoft Edge em modo “headless”, evitando detecção, recuperando comandos do endpoint webhook e exfiltrando-os em forma de arquivo HTML.
Uma variante do script em lote evitava a execução “headless”, movendo a janela do navegador para fora da tela e encerrando agressivamente outros processos do Edge para garantir um ambiente controlado. Ao renderizar o arquivo HTML resultante no Edge, o formulário era submetido, exfiltrando o comando coletado para o endpoint remoto sem interação do usuário. A campanha demonstra que a simplicidade pode ser eficaz, utilizando ferramentas básicas como arquivos em lote e HTML simples para maximizar a furtividade.
Fonte:https://thehackernews.com/2026/02/apt28-targeted-european-entities-using.html
