- APT28 (Fancy Bear) teria lançado a “Operação MacroMaze” desde setembro de 2025
- E-mails de spear-phishing com documentos do Word carregados com macros foram usados para atrair ladrões de informações
- As cadeias de ataque são baseadas em scripts simples e HTML, maximizando a furtividade e a durabilidade
Descobriu-se que o grupo de hackers patrocinado pelo Estado russo APT28, também conhecido como Fancy Bear ou Sofacy, tem como alvo “entidades específicas” na Europa Ocidental e Central para roubo de informações.
Em um relatório recém-lançado, os pesquisadores de segurança Lab52 do S2 Grupo detalharam a “Operação MacroMaze”, que está em andamento pelo menos desde o final de setembro de 2025 até janeiro de 2026.
A campanha começa com um e-mail de spear phishing altamente personalizado. Os temas e conteúdos são diferentes, mas principalmente relacionados a questões diplomáticas. Num caso, os investigadores disseram que estavam a distribuir cópias ligeiramente alteradas de agendas diplomáticas oficiais.
Documentos e macros do Word
Os e-mails viriam com um documento do Microsoft Office Word carregado com macro. Macros são pequenos programas ou scripts que podem ser criados no Microsoft Word para automatizar tarefas repetitivas. No entanto, eles foram tão abusados ao longo dos anos que a Microsoft os desativou por padrão, especialmente para arquivos baixados da Internet.
No entanto, os invasores projetaram cuidadosamente arquivos do Word em torno dele para que as vítimas pudessem ativar macros e executar códigos maliciosos. Lab52 também disse que o malware foi projetado para notificar os invasores quando a vítima realmente executa o arquivo.
Ao fazer isso, eles iniciam uma reação em cadeia que, em vez de descartar uma única variante do malware infostealer, descarta vários pequenos scripts e modelos HTML.
Eles estabeleceram persistência, reconstruíram uma carga de comando a partir dos fragmentos baixados, coletaram informações básicas do sistema e geraram os resultados por meio de um formulário HTML para envio automatizado.
“Esta campanha prova que a simplicidade pode ser poderosa”, explicaram os investigadores. “O invasor usa ferramentas muito básicas (arquivos em lote, pequenos gatilhos VBS e HTML simples), mas as orquestra cuidadosamente para maximizar a furtividade: mover operações para sessões ocultas ou fora da tela do navegador, limpar artefatos e enviar cargas úteis e dados para serviços de webhook amplamente usados.”
O grupo por trás da Operação MacroMaze, APT28, tem estado activamente envolvido na “Operação Militar Especial” da Rússia, atacando a infra-estrutura ucraniana e os seus aliados, à medida que leva a guerra contra a Ucrânia para o ciberespaço.
Através Notícias sobre hackers
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
