Entre la fin de 2025 et le début de 2025, les chercheurs en cybersécurité ont détecté une nouvelle campagne attribuée au groupe appelé APT28., également identifié dans la littérature comme l'ours de fantaisie ou le strontium. L'équipe de renseignement LAB52 de S2 Group a nommé cette opération Opération MacroMaze et l'a décrite comme un exemple de la façon dont des acteurs sophistiqués peuvent atteindre des cibles en utilisant des outils étonnamment simples et des services légitimes comme infrastructure de soutien. Vous pouvez consulter le rapport technique de LAB52 pour plus de détails sur leur blog officiel: Opération MacroMaze - LAB52.
Le point d'entrée a été dirigé et bien travaillé avec des documents intégrés qui, une fois ouverts, ont activé une séquence automatique pour vérifier que le destinataire avait interagi avec le fichier. À cette fin, les attaquants ont profité d'un champ commun dans les documents Word, le champ INCLUSPICTURE, qui ordonne au processeur de récupérer une image à partir d'une URL distante. En pointant ce champ à un service de réception de demande sur le Web (par exemple, site Web), les adversaires ont reçu la requête HTTP lorsque le fichier était ouvert et, avec ce simple appel, ont confirmé que le piège avait fonctionné. Cette utilisation de la ressource est similaire à celle bien connue du « suivi des pixels » dans le marketing numérique: une demande externe qui révèle l'ouverture d'un élément et qui peut stocker des métadonnées utiles pour l'attaquant - une technique bien expliquée dans les lignes directrices sur les pixels de suivi comme celle de Flux nuageux.
Une fois l'interaction vérifiée, les documents ont agi comme des gouttelettes : ils contenaient des macros conçues pour exécuter des étapes supplémentaires qui ont établi la persistance et téléchargé des charges ultérieures. LAB52 a observé de petites variations dans ces macros au cours des mois analysés, mais a maintenu une logique commune : exécuter un VBScript qui a lancé à son tour un fichier CMD pour créer des tâches programmées et tirer un fichier batch. Cette chaîne de petits profits - VBScript, CMD et batch - a été combinée pour orchestrer l'exécution d'une charge utile intégrée en HTML codée dans Base64 qui a été rendue par Microsoft Edge.
La partie la plus ingénieuse était l'utilisation du navigateur comme canal de contrôle et d'exfiltration.. Dans l'une des variantes, le HTML codé a été exécuté en mode décalé ou dans une fenêtre déplacée hors de l'écran, évitant ainsi l'attention de l'utilisateur. Le contenu rendu a de nouveau contacté un paramètre contrôlé par les attaquants pour obtenir des instructions, exécuté les commandes reçues sur la machine compromise, capturé la sortie et renvoyé comme un fichier HTML soumis par un formulaire au même type de service webhook. Autrement dit, ils ont utilisé la fonctionnalité standard des formulaires HTML pour conduire les données à un service externe, minimisant les traces persistantes sur le disque. La technique s'inscrit dans les modèles d'exfiltration par les services web discutés sur des bases de connaissances telles que le cadre MITRE ATT & CK: T1567 - Exfiltration sur le service Web.
La LAB52 a documenté une évolution tactique dans les scripts : les versions initiales pariaient sur l'exécution "sans tête" du navigateur, tandis que les variantes ultérieures recouraient à la simulation de clavier (SendKeys) et aux tactiques pour éviter les fenêtres de dialogue et les avertissements de sécurité. Ils ont également enregistré des tentatives pour maîtriser l'environnement en cours d'exécution en fermant les processus Edge pour s'assurer que la session malveillante avait le contrôle exclusif du navigateur. En d'autres termes, ce n'était pas une tentative d'introduire des logiciels malveillants complexes, mais de canaliser les services publics et les services natifs pour garder les opérations à faible visibilité.
La leçon technique et stratégique est claire : la sophistication ne dépend pas toujours des outils avancés, mais de la conception du flux d'attaque. La combinaison de macros de bureau, de scripts simples, d'un navigateur moderne comme le moteur en marche et de services tiers pour orchestrer la télémétrie et l'exfiltration - tous les éléments légitimes en eux-mêmes - permet à un attaquant de construire une chaîne très difficile à détecter si les bons signaux ne sont pas surveillés. Les groupes tels que l'APT28 ont également un répertoire éprouvé d'opérations contre des objectifs et des organisations politiques en Europe, quelque chose documenté par les analystes et la communauté du renseignement: des informations de référence sur le groupe se trouvent dans l'onglet MITRE ATT & CK: APT28 - MITRE.
Que peuvent faire les organisations pour réduire le risque de telles campagnes? La prévention consiste à limiter l'exécution automatique du contenu actif dans les documents, à désactiver les macros par défaut sauf dans les scénarios contrôlés, à mettre en place des politiques qui empêchent l'exécution de processus externes à partir d'applications bureautiques et à surveiller les demandes sortantes inhabituelles qui ciblent des services tiers utilisés comme mandataire par les attaquants. Il est également pertinent d'implémenter la détection de comportement dans les paramètres pour identifier des modèles tels que la création de tâches programmées inattendues, l'exécution d'Edge par des processus inhabituels, ou la génération de fichiers HTML temporaires avec du contenu encodé. Pour mieux comprendre les capacités de l'adversaire et les techniques qu'il utilise, les dépôts et les publications techniques de la communauté constituent un bon point de départ, en plus du rapport LAB52 lui-même mentionné.
Opération Macro Maze montre que l'hygiène de sécurité de base reste décisive:: Restreindre la macro, appliquer la segmentation du réseau, enregistrer et analyser les demandes sortantes et éduquer les utilisateurs au sujet de la vitesse-phishing ne sont pas des mesures glamour, mais sont les plus efficaces face aux campagnes fondées sur la combinaison de l ' ingénierie sociale et de la réutilisation des services légitimes. Si vous voulez approfondir comment des champs comme INCLUDING PICTURE sont utilisés dans les documents Microsoft, la documentation officielle sur les champs API et Word est utile: Y COMPRIS LA PICTURE - Microsoft Docs.
Bref, la menace continue d'évoluer et repose sur la créativité opérationnelle plutôt que sur la complexité technique. C'est un signal pour les administrateurs et les responsables de la sécurité : surveiller les parties les plus humbles de l'environnement - un document, un petit script ou un appel HTTP à un service public - peut faire la différence entre détecter une intrusion dans le temps ou perdre le contrôle d'une équipe critique.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...