Se cree que un actor de amenazas patrocinado por el estado afiliado a Rusia, rastreado como APT28, está involucrado en una nueva campaña dirigida a organizaciones específicas en Europa occidental y central.
Según el equipo de inteligencia de amenazas LAB52 de S2 Grupo, esta actividad estuvo activa desde septiembre de 2025 hasta enero de 2026. El nombre en clave es «Operación MacroMaze». «Esta campaña se basa en herramientas básicas y la explotación de servicios legítimos para infraestructura y robo de datos», dijo la firma de ciberseguridad.
Esta cadena de ataque utiliza un correo electrónico de phishing como punto de partida para distribuir un documento señuelo que contiene un elemento estructural común dentro del XML: un campo llamado «INCLUDEPICTURE» que apunta a la URL del sitio Webhook(.) que aloja la imagen JPG. Esto recuperará el archivo de imagen del servidor remoto cuando se abra el documento.
En otras palabras, este mecanismo actúa como un mecanismo de baliza similar a un píxel de seguimiento que activa una solicitud HTTP saliente a la URL de su sitio webhook(.) cuando abre un documento. El operador del servidor puede registrar los metadatos asociados con la solicitud y verificar que el destinatario realmente abrió el documento.
Según LAB52, se han identificado varios documentos entre finales de septiembre de 2025 y enero de 2026 que contienen macros ligeramente adaptadas, todos los cuales actúan como goteros para establecer un punto de apoyo en los hosts comprometidos y entregar cargas útiles adicionales.
«Aunque la lógica central de todas las macros detectadas es consistente, los scripts muestran una evolución en las técnicas de evasión, desde ejecutar un navegador ‘sin cabeza’ en versiones anteriores hasta usar simulación de teclado (SendKeys) en versiones más nuevas, que potencialmente pueden eludir las indicaciones de seguridad», explicó la firma española de ciberseguridad.
Esta macro está diseñada para ejecutar Visual Basic Script (VBScript) para hacer avanzar la infección a la siguiente etapa. El script ejecuta un archivo CMD para establecer la persistencia a través de una tarea programada, inicia un script por lotes para representar una pequeña carga útil HTML codificada en Base64 en Microsoft Edge en modo sin cabeza para evitar la detección, recupera y ejecuta comandos desde el punto final del sitio webhook(.), los captura y los distribuye a otra instancia del sitio webhook(.) en forma de un archivo HTML.
Se descubrió que una segunda variante del script por lotes evita la ejecución sin cabeza a favor de mover la ventana del navegador fuera de la pantalla y luego finalizar agresivamente todos los demás procesos del navegador Edge para garantizar un entorno controlado.
«Cuando Microsoft Edge procesa el archivo HTML resultante, se envía el formulario y la salida del comando recopilado se transfiere a un punto final de webhook remoto sin interacción del usuario», dijo LAB52. «Esta tecnología de exfiltración basada en navegador aprovecha la funcionalidad HTML estándar para transmitir datos con artefactos mínimos detectables en el disco».
«Esta campaña demuestra que la simplicidad es poderosa. Los atacantes utilizan herramientas muy básicas (archivos por lotes, pequeños lanzadores VBS y HTML simple) pero los colocan con cuidado para maximizar el sigilo. Mueven las operaciones a sesiones de navegador ocultas o fuera de la pantalla, limpian artefactos y subcontratan tanto la entrega de carga útil como la exfiltración de datos a servicios de webhook ampliamente utilizados».
Source link
