Una nuova campagna di cyber attacchi attribuita al gruppo APT28 sta prendendo di mira organizzazioni selezionate in Europa occidentale e centrale, con un approccio che punta su tecniche semplici ma molto efficaci. L’attività osservata tra settembre 2025 e gennaio 2026 è stata identificata come Operation MacroMaze e si basa su spear phishing e documenti con macro per ottenere accesso iniziale e portare avanti la catena di infezione.

Il punto di partenza è l’invio di email mirate che allegano documenti esca. Questi file contengono un elemento ricorrente nella struttura XML, un campo INCLUDEPICTURE che rimanda a un URL webhook site dove è ospitata una immagine JPG. Quando l’utente apre il documento, l’applicazione recupera automaticamente l’immagine dal server remoto. Questa richiesta HTTP in uscita funziona come un tracking pixel, permettendo agli attaccanti di registrare metadati e verificare che il documento sia stato effettivamente aperto, migliorando la precisione dell’operazione e riducendo rumore e tentativi inutili.

Una volta confermata l’apertura, le macro entrano in azione. I campioni analizzati mostrano variazioni nel tempo, con una evoluzione delle tecniche di evasione. Nelle versioni più vecchie viene usata l’esecuzione headless del browser, mentre in quelle più recenti compaiono metodi come la simulazione della tastiera tramite SendKeys, potenzialmente per superare prompt di sicurezza o interazioni richieste.

La macro avvia uno script Visual Basic che prepara lo stadio successivo. Da qui viene eseguito un file CMD che crea persistenza tramite attività pianificate e lancia script batch incaricati di aprire Microsoft Edge in modo nascosto o fuori schermo. Il batch ricostruisce un piccolo payload HTML codificato in Base64 e lo rende nel browser. L’HTML recupera un comando da un endpoint webhook site, lo esegue, cattura l’output e lo invia a un secondo endpoint webhook site sotto forma di file HTML, sfruttando funzionalità standard dei form per esfiltrare dati senza interazione dell’utente e con pochi artefatti su disco.