El actor de amenazas patrocinado por el Estado vinculado a Rusia, rastreado como APT28, ha sido atribuido a una nueva campaña dirigida a entidades específicas en Europa occidental y central.
La actividad, según el equipo de inteligencia de amenazas LAB52 de S2 Grupo, estuvo activa entre septiembre de 2025 y enero de 2026. Ha recibido el nombre en código Operación MacroLaberinto. «La campaña se basa en herramientas básicas y la explotación de servicios legítimos para la infraestructura y la exfiltración de datos», dijo la empresa de ciberseguridad.
Las cadenas de ataque emplean correos electrónicos de phishing como punto de partida para distribuir documentos señuelo que contienen un elemento estructural común dentro de su XML, un campo llamado «INCLUDEPICTURE» que apunta a una URL de sitio webhook(.) que aloja una imagen JPG. Esto, a su vez, hace que el archivo de imagen se obtenga del servidor remoto cuando se abre el documento.
Dicho de otra manera, este mecanismo actúa como un mecanismo de baliza similar a un píxel de seguimiento que activa una solicitud HTTP saliente a la URL del sitio webhook(.)al abrir el documento. El operador del servidor puede registrar los metadatos asociados con la solicitud, confirmando que el destinatario abrió el documento.
LAB52 dijo que identificó varios documentos con macros ligeramente modificadas entre finales de septiembre de 2025 y enero de 2026, todos los cuales funcionan como un cuentagotas para establecer un punto de apoyo en el host comprometido y entregar cargas útiles adicionales.
«Si bien la lógica central de todas las macros detectadas sigue siendo consistente, los scripts muestran una evolución en las técnicas de evasión, que van desde la ejecución ‘headless’ del navegador en la versión anterior hasta el uso de simulación de teclado (SendKeys) en las versiones más nuevas para potencialmente eludir las indicaciones de seguridad», explicó la empresa española de ciberseguridad.
La macro está diseñada para ejecutar un script de Visual Basic (VBScript) para mover la infección a la siguiente etapa. El script, por su parte, ejecuta un archivo CMD para establecer persistencia a través de tareas programadas y lanza un script por lotes para representar una pequeña carga HTML codificada en Base64 en Microsoft Edge en modo sin cabeza para evadir la detección, recuperar un comando del punto final del sitio webhook(.), ejecutarlo, capturarlo y exfiltrarlo a otra instancia del sitio webhook(.) en forma de un archivo HTML.
Se ha descubierto que una segunda variante del script por lotes evita la ejecución sin cabeza y prefiere mover la ventana del navegador fuera de la pantalla, seguido de finalizar agresivamente todos los demás procesos del navegador Edge para garantizar un entorno controlado.
«Cuando Microsoft Edge procesa el archivo HTML resultante, se envía el formulario, lo que provoca que la salida del comando recopilado se exfiltre al punto final del webhook remoto sin interacción del usuario», dijo LAB52. «Esta técnica de exfiltración basada en navegador aprovecha la funcionalidad HTML estándar para transmitir datos y al mismo tiempo minimiza los artefactos detectables en el disco».
«Esta campaña demuestra que la simplicidad puede ser poderosa. El atacante utiliza herramientas muy básicas (archivos por lotes, pequeños lanzadores VBS y HTML simple) pero los organiza con cuidado para maximizar el sigilo: trasladar las operaciones a sesiones de navegador ocultas o fuera de la pantalla, limpiar artefactos y subcontratar tanto la entrega de carga útil como la exfiltración de datos a servicios de webhook ampliamente utilizados».