De aan Rusland gelieerde, door de staat gesponsorde dreigingsacteur, gevolgd als APT28, is toegeschreven aan een nieuwe campagne gericht op specifieke entiteiten in West- en Centraal-Europa.
Volgens het LAB52-dreigingsinformatieteam van S2 Grupo was de activiteit actief tussen september 2025 en januari 2026. De activiteit heeft de codenaam Operatie MacroMaze. “De campagne is gebaseerd op basistools en de exploitatie van legitieme diensten voor infrastructuur en data-exfiltratie”, aldus het cyberbeveiligingsbedrijf.
De aanvalsketens gebruiken spear-phishing-e-mails als uitgangspunt om lokdocumenten te verspreiden die een gemeenschappelijk structureel element in hun XML bevatten, een veld met de naam “INCLUDEPICTURE” dat verwijst naar een webhook(.)site-URL die een JPG-afbeelding host. Dit zorgt er op zijn beurt voor dat het afbeeldingsbestand wordt opgehaald van de externe server wanneer het document wordt geopend.
Anders gezegd: dit mechanisme fungeert als een bakenmechanisme dat lijkt op een trackingpixel die bij het openen van het document een uitgaand HTTP-verzoek naar de webhook(.)site-URL activeert. De serveroperator kan metagegevens registreren die aan het verzoek zijn gekoppeld, waarmee wordt bevestigd dat het document inderdaad door de ontvanger is geopend.
LAB52 zei dat het tussen eind september 2025 en januari 2026 meerdere documenten met licht aangepaste macro’s heeft geïdentificeerd, die allemaal functioneren als een dropper om voet aan de grond te krijgen op de gecompromitteerde host en extra payloads te leveren.
“Hoewel de kernlogica van alle gedetecteerde macro’s consistent blijft, laten de scripts een evolutie zien in ontduikingstechnieken, variërend van ‘headless’ browseruitvoering in de oudere versie tot het gebruik van toetsenbordsimulatie (SendKeys) in de nieuwere versies om mogelijk beveiligingsvragen te omzeilen”, legt het Spaanse cyberbeveiligingsbedrijf uit.
De macro is ontworpen om een Visual Basic Script (VBScript) uit te voeren om de infectie naar de volgende fase te brengen. Het script voert op zijn beurt een CMD-bestand uit om persistentie tot stand te brengen via geplande taken en start een batchscript voor het weergeven van een kleine Base64-gecodeerde HTML-payload in Microsoft Edge in headless-modus om detectie te omzeilen, een opdracht op te halen van het webhook(.)site-eindpunt, het uit te voeren, de out ervan vast te leggen en het te exfiltreren naar een andere webhook(.)site-instantie in de vorm van een HTML-bestand.
Er is vastgesteld dat een tweede variant van het batchscript de uitvoering zonder hoofd schuwt ten gunste van het buiten het scherm verplaatsen van het browservenster, gevolgd door het agressief beëindigen van alle andere Edge-browserprocessen om een gecontroleerde omgeving te garanderen.
“Wanneer het resulterende HTML-bestand door Microsoft Edge wordt weergegeven, wordt het formulier verzonden, waardoor de verzamelde opdrachtuitvoer zonder gebruikersinteractie naar het externe webhook-eindpunt wordt geëxfiltreerd”, aldus LAB52. “Deze browsergebaseerde exfiltratietechniek maakt gebruik van standaard HTML-functionaliteit om gegevens te verzenden en tegelijkertijd de detecteerbare artefacten op schijf te minimaliseren.”
“Deze campagne bewijst dat eenvoud krachtig kan zijn. De aanvaller gebruikt zeer basale tools (batchbestanden, kleine VBS-opstartprogramma’s en eenvoudige HTML) maar rangschikt ze met zorg om de stealth te maximaliseren: het verplaatsen van bewerkingen naar verborgen of off-screen browsersessies, het opschonen van artefacten en het uitbesteden van zowel de levering van payload als data-exfiltratie aan veelgebruikte webhook-services.”
