Los vinculados a Rusia actor de amenazas patrocinado por el estado rastreado como APT 28 se ha atribuido a una nueva campaña dirigida a entidades específicas de Europa occidental y central.
La actividad, según el equipo de inteligencia de amenazas LAB52 de S2 Grupo, estuvo activa entre septiembre de 2025 y enero de 2026. Se le ha dado un nombre en código Operación MacroMaze . «La campaña se basa en herramientas básicas y en la explotación de servicios legítimos para la infraestructura y la exfiltración de datos», dijo la empresa de ciberseguridad dijo .
Las cadenas de ataque emplean correos electrónicos de suplantación de identidad como punto de partida para distribuir documentos engañosos que contienen un elemento estructural común en su XML, un campo denominado «INCLUDEPICTURE» que apunta a la URL de un sitio webhook [.] que aloja una imagen JPG. Esto, a su vez, hace que el archivo de imagen se recupere del servidor remoto cuando se abre el documento.
Dicho de otro modo, este mecanismo actúa como un mecanismo de señalización similar a un píxel de seguimiento que activa una solicitud HTTP saliente a la URL del sitio webhook [.] al abrir el documento. El operador del servidor puede registrar los metadatos asociados a la solicitud para confirmar que el destinatario ha abierto efectivamente el documento.
adsenseLAB52 dijo que identificó varios documentos con macros ligeramente modificadas entre finales de septiembre de 2025 y enero de 2026, todos los cuales funcionan como cuentagotas para establecer un punto de apoyo en el host comprometido y entregar cargas útiles adicionales.
«Si bien la lógica básica de todas las macros detectadas sigue siendo coherente, los scripts muestran una evolución en las técnicas de evasión, que van desde la ejecución automática del navegador en la versión anterior hasta el uso de la simulación con teclado (sendKeys) en las versiones más recientes para eludir las instrucciones de seguridad», explicó la empresa española de ciberseguridad.
La macro está diseñada para ejecutar un script de Visual Basic (VBScript) para pasar la infección a la siguiente fase. El script, por su parte, ejecuta un archivo CMD para establecer la persistencia mediante tareas programadas y lanza un script por lotes para renderizar una pequeña carga HTML codificada en Base64 en Microsoft Edge en modo headless para evadir la detección, recuperar un comando del punto final del sitio webhook [.], ejecutarlo, capturarlo y filtrarlo a otra instancia del sitio webhook [.] en forma de archivo HTML.
Se ha descubierto que una segunda variante del script por lotes evita la ejecución automática y prefiere mover la ventana del navegador fuera de la pantalla y, a continuación, terminar de forma agresiva todos los demás procesos del navegador Edge para garantizar un entorno controlado.
«Cuando Microsoft Edge procesa el archivo HTML resultante, se envía el formulario, lo que hace que el resultado del comando recopilado se exfiltre al punto final remoto del webhook sin la interacción del usuario», afirma LAB52. «Esta técnica de exfiltración basada en un navegador aprovecha la funcionalidad HTML estándar para transmitir datos y, al mismo tiempo, minimizar los artefactos detectables en el disco».
«Esta campaña demuestra que la sencillez puede ser poderosa. El atacante utiliza herramientas muy básicas (archivos por lotes, pequeños lanzadores de VBS y código HTML simple), pero las organiza con cuidado para maximizar el sigilo: traslada las operaciones a sesiones de navegador ocultas o fuera de la pantalla, limpia los artefactos y subcontrata la entrega de la carga útil y la exfiltración de datos a servicios de webhooks de uso generalizado».
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS