APT28シンジケートは、西・中欧全域の組織に対して一連の精密な攻撃を組織化しており、マクロとwebhookを含む欺瞞的かつ綿密に構成されたスキームを採用している。「Operation MacroMaze」と指定されたこの攻撃は、S2 GrupoのLAB52 チームによって記録されている。彼らの調査結果は、キャンペーンが2025年9月から2026年1月まで継続し、基本的なツールと正規のオンラインサービスの洗練されたシナジーに依存していたことを示している。
侵入は特定の要員に向けられたカスタムメールで始まった。これらのメッセージは、「INCLUDEPICTURE」というXML要素を含む添付ファイルを含んでおり、webhook[.]siteでホストされている画像を参照していた。ファイルを開くと、リモートサーバーへの自動HTTPリクエストがトリガーされた。このメカニズムは高度なトラッキングピクセルとして機能し、敵対者に誘導が実行されたことを通知し、被害者からのさらなる相互作用なしに技術的なテレメトリーを収集できるようにした。
9月下旬以来、研究者は修正されたマクロを特徴とする複数のドキュメントのバージョンを特定している。各バージョンはプライマリーローダーとして機能し、ホストシステム内での永続性を確立して補足的なコンポーネントのデプロイメントを促進した。基本的なロジックは一貫していたが、難読化技術は進化した。初期バージョンはMicrosoft Edgeをヘッドレス、非表示の状態で起動したが、その後のバージョンはSendKeys関数を使用してキーストロークをシミュレートし、システムセキュリティプロンプトを回避した。
マクロはVBScriptを開始し、その後、コマンドファイルをトリガーした。このファイルはシステムスケジューラーでタスクをスケジュール化して長期的な永続性を確保し、バッチスクリプトを実行した。最終段階ではMicrosoft Edge内でBase64エンコードされたコンテンツを含むコンパクトなHTMLファイルを開いた。ブラウザはあるwebhookアドレスからコマンドを取得し、それらを実行し、結果をHTMLドキュメントとして別のサーバーに流出させた。別の設定では、完全にヘッドレスモードを使用するのではなく、ブラウザウィンドウをディスプレイの物理座標を超えて配置し、無関係なEdgeプロセスをすべて終了させて実行環境を清潔に保った。
HTMLファイルがレンダリングされると、フォームが自動的に送信され、コマンド結果がユーザーの介入なしにリモートサーバーに送信された。この戦略は、標準的なブラウザプロトコルを活用してデータを送信しながら、物理ディスク上に残されたフォレンジック上の痕跡を最小化した。
LAB52は、このキャンペーンが厳しい現実を浮き彫りにしていることを強調している。一見単純なツールでも、戦略的な精密さで組織化された場合、深い効果を達成することができる。基本的なバッチファイル、VBScript、基本的なHTMLを利用しながら、目に見えないブラウザセッション内で操作を偽装し、ユビキタスなwebhookサービスを活用することにより、敵対者はステルスと単純性の境界を成功裏に乗り越えてデータ流出を促進した。
