Entre finales de 2025 y principios de 2026, investigadores de ciberseguridad detectaron una campaña renovada atribuida al grupo conocido como APT28, también identificado en la literatura como Fancy Bear o Strontium. El equipo de inteligencia LAB52 de S2 Grupo bautizó esta operación como Operation MacroMaze y la describió como un ejemplo de cómo actores sofisticados pueden alcanzar objetivos utilizando herramientas sorprendentemente sencillas y servicios legítimos como infraestructura de apoyo. Puedes consultar el informe técnico de LAB52 para más detalles en su blog oficial: Operation MacroMaze — LAB52.
El punto de entrada eran correos dirigidos y muy trabajados con documentos incrustados que, al abrirse, activaban una secuencia automática destinada a verificar que el destinatario había interactuado con el archivo. Para ello los atacantes aprovecharon un campo habitual en documentos de Word, el campo INCLUDEPICTURE, que ordena al procesador recuperar una imagen desde una URL remota. Al apuntar ese campo a un servicio de recepción de peticiones web (por ejemplo, webhook.site), los adversarios recibían la petición HTTP cuando el archivo era abierto y, con esa simple llamada, confirmaban que la trampa había funcionado. Este uso del recurso es análogo a los conocidos “tracking pixels” en marketing digital: una petición externa que delata la apertura de un elemento y que puede almacenar metadatos útiles para el atacante —una técnica bien explicada en guías sobre píxeles de seguimiento como la de Cloudflare.
Una vez comprobada la interacción, los documentos actuaban como droppers: contenían macros diseñadas para ejecutar etapas adicionales que establecían persistencia y descargaban cargas posteriores. LAB52 observó pequeñas variaciones en esas macros a lo largo de los meses analizados, pero mantuvieron una lógica común: ejecutar un VBScript que a su vez lanzaba un archivo CMD para crear tareas programadas y disparar un archivo por lotes. Esa cadena de pequeñas utilidades —VBScript, CMD y batch— se combinó para orquestar la ejecución de un payload embebido en HTML codificado en Base64 que era renderizado por Microsoft Edge.
La parte más ingeniosa desde el punto de vista operacional fue el uso del navegador como canal de control y exfiltración. En una de las variantes, el HTML codificado se ejecutaba en un modo sin interfaz visible (headless) o en una ventana trasladada fuera de la pantalla, evitando así la atención del usuario. El contenido renderizado contactaba de nuevo con un endpoint controlado por los atacantes para obtener instrucciones, ejecutaba los comandos recibidos en la máquina comprometida, capturaba la salida y la enviaba de vuelta como un archivo HTML sometido mediante un formulario al mismo tipo de servicio webhook. Es decir: utilizaron la funcionalidad estándar de formularios HTML para expulsar datos hacia un servicio externo, reduciendo al mínimo los rastros persistentes en disco. La técnica encaja dentro de patrones de exfiltración por servicios web discutidos en bases de conocimiento como el marco MITRE ATT&CK: T1567 — Exfiltration Over Web Service.
LAB52 documentó una evolución táctica en los scripts: las versiones iniciales apostaban por la ejecución “headless” del navegador, mientras que variantes posteriores recurrieron a simulación de teclado (SendKeys) y a tácticas para eludir ventanas de diálogo y avisos de seguridad. También registraron intentos de dominar el entorno de ejecución cerrando procesos de Edge para asegurar que la sesión maliciosa tenía el control exclusivo del navegador. Es decir, no se trató de introducir malware complejo, sino de encadenar utilidades nativas y servicios públicos para mantener bajo perfil las operaciones.
La lección técnica y estratégica es clara: la sofisticación no siempre depende de herramientas avanzadas, sino del diseño del flujo de ataque. La combinación de macros ofimáticas, scripts sencillos, un navegador moderno como motor de ejecución y servicios de terceros para orquestar telemetría y exfiltración —todos elementos legítimos por sí mismos— permite a un atacante construir una cadena muy difícil de detectar si no se vigilan las señales adecuadas. Los grupos como APT28 cuentan además con un repertorio probado de operaciones contra objetivos políticos y organizaciones en Europa, algo documentado por analistas y por la comunidad de inteligencia: puede consultarse información de referencia sobre el grupo en la ficha de MITRE ATT&CK: APT28 — MITRE.
¿Qué pueden hacer las organizaciones para reducir el riesgo de este tipo de campañas? La prevención pasa por limitar la ejecución automática de contenido activo en documentos, desactivar macros por defecto salvo en escenarios controlados, configurar políticas que impidan la ejecución de procesos externos desde aplicaciones ofimáticas y monitorizar peticiones salientes inusuales que apunten a servicios de terceros utilizados como proxy por los atacantes. También es relevante instrumentar detección de comportamiento en los endpoints para identificar patrones como la creación de tareas programadas inesperadas, la ejecución de Edge por procesos no habituales o la generación de archivos HTML temporales con contenido codificado. Para comprender mejor las capacidades del adversario y las técnicas que emplea, los repositorios y publicaciones técnicas de la comunidad son un buen punto de partida, además del propio informe de LAB52 ya citado.
Operation MacroMaze demuestra que la higiene básica de seguridad sigue siendo determinante: restringir macros, aplicar segmentación de red, registrar y analizar peticiones salientes y educar a los usuarios sobre spear-phishing no son medidas glamorosas, pero sí las más eficaces ante campañas que se sustentan en la combinación de ingeniería social y reutilización de servicios legítimos. Si quieres profundizar en cómo se usan campos como INCLUDEPICTURE en documentos de Microsoft, la documentación oficial sobre la API y campos de Word resulta útil: INCLUDEPICTURE — Microsoft Docs.
En resumen, la amenaza sigue en evolución y se apoya en la creatividad operativa más que en la complejidad técnica. Esa es una señal para administradores y responsables de seguridad: vigilar las piezas más humildes del entorno —un documento, un pequeño script o una llamada HTTP a un servicio público— puede marcar la diferencia entre detectar a tiempo una intrusión o perder el control de un equipo crítico.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...