El actor de amenazas patrocinado por el Estado vinculado a Rusia, rastreado como APT28, ha sido atribuido a una nueva campaña dirigida a entidades específicas en Europa occidental y central.
La actividad, según el equipo de inteligencia de amenazas LAB52 de S2 Corro, estuvo activa entre septiembre de 2025 y enero de 2026. Ha recibido el nombre en código Operación MacroLaberinto. “La campaña se base en herramientas básicas y la explotación de servicios legítimos para la infraestructura y la exfiltración de datos”, dijo la empresa de ciberseguridad.
Las cadenas de ataque emplean correos electrónicos de phishing como punto de partida para distribuir documentos señuelo que contienen un pájaro estructural popular en el interior de su XML, un campo llamado “INCLUDEPICTURE” que apunta a una URL de sitio webhook(.) que aloja una imagen JPG. Esto, a su vez, hace que el archivo de imagen se obtenga del servidor remoto cuando se abre el documento.
Dicho de otra modo, este mecanismo actúa como un mecanismo de baliza similar a un píxel de seguimiento que activa una solicitud HTTP saliente a la URL del sitio webhook(.)al aclarar el documento. El cámara del servidor puede registrar los metadatos asociados con la solicitud, confirmando que el destinatario abrió el documento.
LAB52 dijo que identificó varios documentos con macros sutilmente modificadas entre finales de septiembre de 2025 y enero de 2026, todos los cuales funcionan como un cuentagotas para establecer un punto de apoyo en el host comprometido y entregar cargas aperos adicionales.
“Si correctamente la razonamiento central de todas las macros detectadas sigue siendo consistente, los scripts muestran una crecimiento en las técnicas de distracción, que van desde la ejecución ‘headless’ del navegador en la traducción previo hasta el uso de simulación de teclado (SendKeys) en las versiones más nuevas para potencialmente eludir las indicaciones de seguridad”, explicó la empresa española de ciberseguridad.
La macro está diseñada para ejecutar un script de Visual Basic (VBScript) para mover la infección a la próximo etapa. El script, por su parte, ejecuta un archivo CMD para establecer persistencia a través de tareas programadas y venablo un script por lotes para representar una pequeña carga HTML codificada en Base64 en Microsoft Edge en modo sin comienzo para eludir la detección, recuperar un comando del punto final del sitio webhook(.), ejecutarlo, capturarlo y exfiltrarlo a otra instancia del sitio webhook(.) en forma de un archivo HTML.
Se ha descubierto que una segunda variación del script por lotes evita la ejecución sin comienzo y prefiere mover la ventana del navegador fuera de la pantalla, seguido de finalizar agresivamente todos los demás procesos del navegador Edge para respaldar un entorno controlado.
“Cuando Microsoft Edge procesa el archivo HTML resultante, se envía el formulario, lo que provoca que la salida del comando recopilado se exfiltre al punto final del webhook remoto sin interacción del afortunado”, dijo LAB52. “Esta técnica de exfiltración basada en navegador aprovecha la funcionalidad HTML habitual para transmitir datos y al mismo tiempo minimiza los artefactos detectables en el disco”.
“Esta campaña demuestra que la simplicidad puede ser poderosa. El atacante utiliza herramientas muy básicas (archivos por lotes, pequeños lanzadores VBS y HTML simple) pero los organiza con cuidado para maximizar el sigilo: trasladar las operaciones a sesiones de navegador ocultas o fuera de la pantalla, afanar artefactos y subcontratar tanto la entrega de carga útil como la exfiltración de datos a servicios de webhook ampliamente utilizados”.
