Operation MacroMaze
A Lab52 azonosított egy 2025 végén kezdődött, 2026 elejéig tartó, az orosz titkosszolgálathoz köthető APT28 (Fancy Bear / Forest Blizzard / FROZENLAKE) által végrehajtott spear-phishing kampányt, amely elsősorban Nyugat- és Közép-Európában működő szervezeteket vett célba. Az Operation MacroMaze kampány során ártalmatlannak tűnő Word-dokumentumok, például állami hivatalok értekezleteit imitáló napirendek, makrókat tartalmaztak, amelyek megnyitáskor rejtett kódot futtattak. Ezek az Office fájlok nem csupán egyszerűen futtatták a rosszindulatú szkripteket, hanem egy külső, legitim webhook szolgáltatás infrastruktúráját használták kapcsolatfelvételre és adatok kicsatornázására, így csökkentve a tipikus észlelési mintázatokat.
A makrók a felhasználói profilba többféle szkriptet (VBS, BAT, CMD) és HTML-formátumú fájt helyeztek el, majd egy Windows ütemezett feladatot hoztak létre, hogy a kártékony láncolat időről időre automatikusan elinduljon. A szkriptek a végrehajtás során Microsoft Edge böngészőt is elindítottak rejtett vagy headless módon, hogy a begyűjtött információkat a webhook szolgáltatáson keresztül továbbítsák a támadónak, minimalizálva a hagyományos hálózati C2-kiszolgáló szükségességét.
A vizsgált makró-variánsok idővel finomodtak, kezdetben egyszerűbb decoy dokumentumokkal csábították a felhasználókat, később pedig olyan kódot is beépítettek, amely billentyűszimulációkkal próbálja automatikusan elfogadtatni az Engedélyezze a tartalmat biztonsági figyelmeztetést.
