SOC Prime Bias: Crítico

16 Feb 2026 14:31 UTC

Operación MacroMaze: nueva campaña de APT28 utilizando herramientas básicas e infraestructura legítima

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Operación MacroMaze: nueva campaña de APT28 utilizando herramientas básicas e infraestructura legítima
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

APT28 (Fancy Bear) llevó a cabo una operación de spear-phishing denominada Operación MacroMaze dirigida a organizaciones en Europa Occidental y Central. El señuelo usó documentos de Word armados con macros dropper que descargaban scripts adicionales y movían datos robados a través de servicios de webhook legítimos. La cadena se adhiere a herramientas de baja fricción—VBS, scripts por lotes y Microsoft Edge lanzado en modo oculto o sin cabeza—mientras mantiene la infraestructura en el servicio público webhook.site.

Investigación

Lab52 rastreó cuatro variantes de macro entre septiembre de 2025 y enero de 2026, observando cambios iterativos en el comportamiento del dropper, persistencia de tareas programadas y exfiltración impulsada por el navegador. Los analistas destacaron indicadores recurrentes, incluyendo campos INCLUDEPICTURE, nombres de archivos estilo GUID y automatización basada en SendKeys. También extrajeron artefactos relevantes, URLs y el flujo específico de creación de tareas programadas utilizado para mantener el acceso.

Mitigación

Desactive la ejecución automática de macros en Office y aplique un manejo estricto de adjuntos en Outlook. Monitoree la creación de tareas programadas sospechosas y los lanzamientos atípicos de Microsoft Edge en modos sin cabeza o fuera de pantalla. Bloquee o alerte sobre el tráfico saliente a webhook.site y plataformas de webhook públicas similares. Utilice listas de aplicaciones permitidas para restringir la ejecución de archivos VBS y scripts por lotes desconocidos.

Respuesta

Si se detecta actividad, aisle el host, conserve el documento malicioso y los artefactos relacionados, y busque la tarea programada creada y los archivos droppeados. Capture la telemetría de red para identificar puntos de exfiltración y elimine cualquier tarea programada maliciosa. Realice una evaluación forense para el robo de credenciales y notifique a las partes interesadas. Actualice las detecciones para cubrir los IOC y patrones de comportamiento observados.

Flujo de ataque

Ejecución de simulación

Requisito previo: La verificación previa de telemetría y línea base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa deben reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa del ataque y comandos:

    Un macro malicioso al estilo APT28 se entrega vía phishing. Cuando se abre el documento, el macro ejecuta un pequeño VBScript que crea un objeto WScript.Shell . Este objeto se usa luego para lanzar cmd.exe con un payload que escribe un shell reverso de PowerShell codificado en base-64 a un archivo temporal y lo ejecuta. La secuencia genera dos eventos de creación de procesos que satisfacen la regla Sigma:

    1. wscript.exe (or cscript.exe) ejecuta el VBScript que contiene objeto WScript.Shell.
    2. El mismo VBScript llama a WScript.Shell.Run "cmd.exe /c powershell -nop -w hidden -EncodedCommand …" lo que genera cmd.exe.

    La relación padre-hijo y la presencia de objeto WScript.Shell en la línea de comando son los indicadores exactos que busca la regla.

  • Guion de prueba de regresión:

    # -------------------------------------------------------
    # Simulación MacroMaze – lanza wscript.exe → cmd.exe
    # -------------------------------------------------------
    # 1. Crear un VBS temporal que use WScript.Shell para ejecutar cmd.exe
    $vbsContent = @"
    Set sh = CreateObject("WScript.Shell")
    sh.Run "cmd.exe /c echo Malicious payload executed > %TEMP%payload.txt"
    "@
    $vbsPath = "$env:TEMPmacromaze.vbs"
    $vbsContent | Set-Content -Path $vbsPath -Encoding ASCII
    
    # 2. Ejecutar el VBS a través de wscript.exe (generará la telemetría deseada)
    Start-Process -FilePath "wscript.exe" -ArgumentList "`"$vbsPath`"" -WindowStyle Hidden
    
    # Opcional: pausar para permitir que el SIEM ingiera eventos
    Start-Sleep -Seconds 5
    # -------------------------------------------------------
  • Comandos de limpieza:

    # Eliminar el VBS temporal y el archivo de payload
    Remove-Item -Path "$env:TEMPmacromaze.vbs" -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPpayload.txt" -ErrorAction SilentlyContinue