EL GRUPO RUSE APT28 INTENSIFICA ATAQUES CONTRA EUROPA CON LA OPERACIÓN MACROMAZE

El equipo de inteligencia de amenazas LAB52 de S2 Grupo, con sede en España, ha identificado una sofisticada campaña de ciberespionaje denominada "Operación MacroMaze", dirigida contra entidades gubernamentales y de defensa en Europa Occidental y Central. La operación, atribuida al grupo APT28 (vinculado a la inteligencia militar rusa o GRU), destaca por el uso ingenioso de herramientas sencillas y servicios legítimos para evadir la detección.

El arte de la simplicidad técnica

A diferencia de otros ataques que emplean malware extremadamente complejo, la investigación de LAB52 revela que APT28 está utilizando una combinación de scripts básicos (batch files, VBS y HTML) para maximizar su sigilo. La clave del éxito de esta campaña reside en la orquestación:

1. Phishing geopolítico: Los ataques comienzan con correos electrónicos que contienen documentos de Office modificados. Estos archivos incluyen un campo XML llamado "INCLUDEPICTURE" que apunta a un servicio de webhooks (webhook.site).

2. Tracking silencioso: Al abrir el documento, este actúa como un "píxel de seguimiento", notificando a los atacantes en tiempo real que el objetivo ha mordido el anzuelo.

3. Evolución en la evasión: Los analistas observaron que el grupo ha pasado de ejecutar navegadores en modo "headless" (sin interfaz) a utilizar simulación de teclado (SendKeys) para saltarse las advertencias de seguridad de Windows de forma automatizada.

Exfiltración vía servicios legítimos

Un aspecto crítico reportado por S2 Grupo es la dependencia de infraestructuras de terceros. APT28 utiliza servicios de webhooks y plataformas de almacenamiento en la nube (como filen.io) para el comando y control (C2). Al usar estos servicios, el tráfico malicioso se mezcla con la actividad legítima de red, dificultando enormemente su detección por parte de los firewalls convencionales.

Objetivos estratégicos

Aunque la campaña ha estado activa desde septiembre de 2025 hasta enero de 2026, ha cobrado especial fuerza en las últimas semanas, coincidiendo con ataques contra ministerios de defensa y sectores de transporte en países como Polonia, Eslovenia, Grecia y Ucrania.

Los investigadores señalan que, si bien las herramientas son básicas, el "trade-off" operativo es muy efectivo: APT28 prefiere sacrificar la complejidad técnica a cambio de una mayor velocidad de despliegue y una huella digital mínima en los sistemas comprometidos.

Advertencia a las instituciones

Este informe de LAB52 se suma a las recientes alertas de CERT-UA (Ucrania) y Zscaler, que también han documentado al grupo explotando vulnerabilidades críticas en Microsoft Office (como la CVE-2026-21509) pocos días después de su parche oficial. La recomendación de los expertos es clara: reforzar la monitorización de servicios externos de webhooks y extremar las precauciones ante documentos adjuntos, incluso si parecen provenir de fuentes oficiales o diplomáticas.