Operación MacroMaze: nueva campaña de APT28 utilizando herramientas básicas e infraestructura legítima
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
APT28 (Fancy Bear) llevó a cabo una operación de spear-phishing denominada Operación MacroMaze dirigida a organizaciones en Europa Occidental y Central. El señuelo usó documentos de Word armados con macros dropper que descargaban scripts adicionales y movían datos robados a través de servicios de webhook legítimos. La cadena se adhiere a herramientas de baja fricción—VBS, scripts por lotes y Microsoft Edge lanzado en modo oculto o sin cabeza—mientras mantiene la infraestructura en el servicio público webhook.site.
Investigación
Lab52 rastreó cuatro variantes de macro entre septiembre de 2025 y enero de 2026, observando cambios iterativos en el comportamiento del dropper, persistencia de tareas programadas y exfiltración impulsada por el navegador. Los analistas destacaron indicadores recurrentes, incluyendo campos INCLUDEPICTURE, nombres de archivos estilo GUID y automatización basada en SendKeys. También extrajeron artefactos relevantes, URLs y el flujo específico de creación de tareas programadas utilizado para mantener el acceso.
Mitigación
Desactive la ejecución automática de macros en Office y aplique un manejo estricto de adjuntos en Outlook. Monitoree la creación de tareas programadas sospechosas y los lanzamientos atípicos de Microsoft Edge en modos sin cabeza o fuera de pantalla. Bloquee o alerte sobre el tráfico saliente a webhook.site y plataformas de webhook públicas similares. Utilice listas de aplicaciones permitidas para restringir la ejecución de archivos VBS y scripts por lotes desconocidos.
Respuesta
Si se detecta actividad, aisle el host, conserve el documento malicioso y los artefactos relacionados, y busque la tarea programada creada y los archivos droppeados. Capture la telemetría de red para identificar puntos de exfiltración y elimine cualquier tarea programada maliciosa. Realice una evaluación forense para el robo de credenciales y notifique a las partes interesadas. Actualice las detecciones para cubrir los IOC y patrones de comportamiento observados.
Flujo de ataque
Detecciones
Ejecución sospechosa de Taskkill (vía cmdline)
Ver
Distribución posible de malware a través de endpoints de WebsiteHook (vía proxy)
Ver
Proceso de navegador sospechoso ejecutado con parámetros sospechosos (vía cmdline)
Ver
LOLBAS WScript / CScript (vía process_creation)
Ver
Distribución posible de malware a través de endpoints de WebsiteHook (vía dns)
Ver
IOC (HashSha256) para detectar: Operación MacroMaze: nueva campaña APT28 usando herramientas básicas e infraestructura legítima
Ver
Operación MacroMaze APT28 Ejecución de WScript y CMD [Creación de Procesos en Windows]
Ver
Ejecución de simulación
Requisito previo: La verificación previa de telemetría y línea base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa deben reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del ataque y comandos:
Un macro malicioso al estilo APT28 se entrega vía phishing. Cuando se abre el documento, el macro ejecuta un pequeño VBScript que crea un objeto WScript.Shell . Este objeto se usa luego para lanzar
cmd.execon un payload que escribe un shell reverso de PowerShell codificado en base-64 a un archivo temporal y lo ejecuta. La secuencia genera dos eventos de creación de procesos que satisfacen la regla Sigma:- wscript.exe (or cscript.exe) ejecuta el VBScript que contiene
objeto WScript.Shell. - El mismo VBScript llama a
WScript.Shell.Run "cmd.exe /c powershell -nop -w hidden -EncodedCommand …"lo que genera cmd.exe.
La relación padre-hijo y la presencia de
objeto WScript.Shellen la línea de comando son los indicadores exactos que busca la regla. - wscript.exe (or cscript.exe) ejecuta el VBScript que contiene
-
Guion de prueba de regresión:
# ------------------------------------------------------- # Simulación MacroMaze – lanza wscript.exe → cmd.exe # ------------------------------------------------------- # 1. Crear un VBS temporal que use WScript.Shell para ejecutar cmd.exe $vbsContent = @" Set sh = CreateObject("WScript.Shell") sh.Run "cmd.exe /c echo Malicious payload executed > %TEMP%payload.txt" "@ $vbsPath = "$env:TEMPmacromaze.vbs" $vbsContent | Set-Content -Path $vbsPath -Encoding ASCII # 2. Ejecutar el VBS a través de wscript.exe (generará la telemetría deseada) Start-Process -FilePath "wscript.exe" -ArgumentList "`"$vbsPath`"" -WindowStyle Hidden # Opcional: pausar para permitir que el SIEM ingiera eventos Start-Sleep -Seconds 5 # ------------------------------------------------------- -
Comandos de limpieza:
# Eliminar el VBS temporal y el archivo de payload Remove-Item -Path "$env:TEMPmacromaze.vbs" -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPpayload.txt" -ErrorAction SilentlyContinue