Rosja bezczelnie atakuje Europę. Agenci coraz bardziej aktywni

Grupa APT28, od lat wiązana z rosyjskimi strukturami państwowymi, została powiązana z nową operacją cyberszpiegowską wymierzoną w wybrane podmioty w Europie Zachodniej i Środkowej. Analitycy z LAB52, zespołu wywiadu zagrożeń działającego w ramach S2 Grupo, przypisali kampanii kryptonim Operacja MacroMaze i wskazali, że była aktywna od września 2025 roku do stycznia 2026 roku.

Według badaczy działania napastników opierały się na zaskakująco prostych narzędziach oraz wykorzystaniu legalnych usług internetowych do komunikacji i eksfiltracji danych. Zastosowana metoda pokazuje, że skuteczność ataku nie zawsze zależy od zaawansowanego malware’u, lecz od przemyślanej konstrukcji całego łańcucha infekcji.

Eksperci podkreślają, że kampania stanowi kolejny przykład aktywności APT28 w regionie i potwierdza utrzymujące się zainteresowanie podmiotami publicznymi oraz prywatnymi w Europie Zachodniej i Środkowej.

Phishing jako punkt wejścia

Kampania rozpoczynała się od starannie przygotowanych wiadomości spear phishingowych, czyli precyzyjnie przygotowanych i ukierunkowanych ataków. Do e-maili dołączano dokumenty-przynęty zawierające w strukturze XML pole INCLUDEPICTURE wskazujące na zewnętrzny adres w domenie webhook.site. Po otwarciu dokumentu aplikacja biurowa automatycznie pobierała obraz JPG z serwera kontrolowanego przez atakujących.

Mechanizm ten działał jak piksel śledzący. Wysłanie żądania HTTP pozwalało operatorowi serwera potwierdzić, że plik został otwarty przez adresata. Rejestrowane były metadane połączenia, w tym adres IP i informacje o środowisku ofiary. Taki sygnał stanowił podstawę do uruchomienia dalszych etapów operacji.

Ewolucja makr i technik obejścia zabezpieczeń

LAB52 zidentyfikowało kilka wariantów dokumentów z nieznacznie zmodyfikowanymi makrami. Rdzeń logiki pozostawał podobny, lecz zmieniały się techniki omijania zabezpieczeń. W starszych wersjach wykorzystywano wykonywanie operacji w przeglądarce w trybie bez interfejsu użytkownika. Nowsze warianty stosowały symulację naciśnięć klawiszy za pomocą funkcji SendKeys w celu obchodzenia komunikatów bezpieczeństwa.

Makro uruchamiało skrypt VBScript, który odpowiadał za przejście do kolejnego etapu infekcji. Następnie wykonywany był plik CMD konfigurujący trwałość poprzez zaplanowane zadania systemowe. W dalszej fazie generowany był niewielki ładunek HTML zakodowany w Base64, renderowany w przeglądarce Microsoft Edge w trybie bezobsługowym.

Taka sekwencja pozwalała pobrać polecenia z serwera webhook, wykonać je lokalnie, a następnie przesłać wynik w formie pliku HTML do innej instancji webhook.site. Całość odbywała się bez widocznej interakcji użytkownika.

Eksfiltracja przez przeglądarkę

Badacze odkryli również drugi wariant skryptu wsadowego. Zamiast trybu bezobsługowego okno przeglądarki było przenoszone poza obszar widoczny dla użytkownika, po czym zamykano pozostałe procesy Edge w celu utrzymania kontrolowanego środowiska wykonawczego.

Po wygenerowaniu pliku HTML następowało automatyczne przesłanie formularza zawierającego dane wyjściowe poleceń. Informacje trafiały na zdalny punkt końcowy webhook bez jakichkolwiek działań ze strony ofiary. Technika opierała się na standardowych funkcjach HTML i nie pozostawiała wyraźnych artefaktów na dysku, utrudniając analizę śledczą.

Siła prostoty

Operacja MacroMaze pokazuje konsekwentne podejście APT28 do budowania wieloetapowych kampanii z wykorzystaniem podstawowych komponentów systemowych. Pliki wsadowe, skrypty VBS i prosty kod HTML zostały połączone w łańcuch umożliwiający trwałość, zdalne wykonywanie poleceń i eksfiltrację danych.

Przeniesienie operacji do ukrytych lub pozaekranowych sesji przeglądarki oraz oparcie komunikacji na popularnych usługach webhook ogranicza widoczność ruchu sieciowego w środowiskach monitorowanych standardowymi narzędziami. Dla organizacji w Europie oznacza to konieczność wzmocnienia mechanizmów detekcji anomalii oraz analizy ruchu wychodzącego z aplikacji biurowych i przeglądarek.