Entre finais de 2025 e princípios de 2026, pesquisadores de cibersegurança detectaram uma campanha renovada atribuída ao grupo conhecido como APT28, também identificado na literatura como Fancy Bear ou Strontium. A equipe de inteligência LAB52 do S2 Grupo mobilizou esta operação como Operation MacroMaze e descreveu-a como um exemplo de como atores sofisticados podem alcançar objetivos usando ferramentas surpreendentemente simples e serviços legítimos como infraestrutura de apoio. Você pode consultar o relatório técnico da LAB52 para mais detalhes em seu blog oficial: Operation MacroMaze — LAB52.
O ponto de entrada eram e-mails dirigidos e muito trabalhados com documentos incorporados que, ao abrirem, ativavam uma sequência automática destinada a verificar que o destinatário havia interagido com o arquivo. Para isso, os atacantes aproveitaram um campo habitual em documentos do Word, o campo INCLUDEPICTURE, que ordena ao processador recuperar uma imagem de um URL remoto. Ao apontar esse campo para um serviço de recepção de petições web (por exemplo, Webhook.site), os adversários recebiam a petição HTTP quando o arquivo era aberto e, com essa simples chamada, confirmavam que a armadilha tinha funcionado. Este uso do recurso é análogo aos conhecidos "tracking pixels" em marketing digital: um pedido externo que delata a abertura de um elemento e que pode armazenar metadados úteis para o atacante — uma técnica bem explicada em guias de pixels de rastreamento como a de Cloudflare.
Uma vez comprovada a interação, os documentos atuavam como droppers: continham macros desenhadas para executar etapas adicionais que estabeleciam persistência e descarregavam cargas posteriores. LAB52 observou pequenas variações nessas macros ao longo dos meses analisados, mas mantiveram uma lógica comum: executar um VBScript que, por sua vez, lançava um arquivo CMD para criar tarefas programadas e disparar um arquivo por lote. Essa cadeia de pequenas utilidades — VBScript, CMD e batch — foi composta para orquestrar a execução de um payload embebido em HTML codificado em Base64 que era renderizado pela Microsoft Edge.
A parte mais engenhosa do ponto de vista operacional foi o uso do navegador como canal de controle e exfiltração. Em uma das variantes, o HTML codificado foi executado num modo sem interface visível (headless) ou numa janela transferida fora do ecrã, evitando assim a atenção do utilizador. O conteúdo renderizado contava novamente com um endpoint controlado pelos atacantes para obter instruções, executava os comandos recebidos na máquina comprometida, capturava o resultado e enviava de volta como um arquivo HTML submetido por um formulário ao mesmo tipo de serviço webhook. Ou seja: utilizaram a funcionalidade padrão de formulários HTML para expulsar dados para um serviço externo, reduzindo ao mínimo os vestígios persistentes em disco. A técnica encaixa dentro de padrões de exfiltração por serviços web discutidos em bases de conhecimento como o marco MITRE ATT&CK: T1567 — Exfiltration Over Web Service.
LAB52 documentou uma evolução tática nos programas: as versões iniciais apostavam na execução “headless” do navegador, enquanto as variantes posteriores recorreram à simulação de teclado (SendKeys) e a táticas para contornar janelas e avisos de segurança. Também registraram tentativas de dominar o ambiente de execução fechando processos de Edge para garantir que a sessão maliciosa tinha o controle exclusivo do navegador. Ou seja, não se tratou de introduzir malware complexo, mas de encadear utilitários nativos e serviços públicos para manter sob perfil as operações.
A lição técnica e estratégica é clara: a sofisticação nem sempre depende de ferramentas avançadas, mas do desenho do fluxo de ataque. A combinação de macros ofimáticas, scripts simples, um navegador moderno como motor de execução e serviços de terceiros para orquestrar telemetria e exfiltração — todos elementos legítimos por si mesmos — permite a um atacante construir uma cadeia muito difícil de detectar se os sinais apropriados não são monitorizados. Os grupos como o APT28 também têm um repertório comprovado de operações contra alvos políticos e organizações na Europa, algo documentado por analistas e pela comunidade de inteligência: informações de referência sobre o grupo podem ser consultadas na ficha do MITRE ATT&CK: APT28 — MITRE.
O que as organizações podem fazer para reduzir o risco deste tipo de campanhas? A prevenção passa por limitar a execução automática de conteúdo ativo em documentos, desativar macros por defeito, excepto em cenários controlados, configurar políticas que impeçam a execução de processos externos a partir de aplicações ofimáticas e monitorar petições salientes incomuns que apontem para serviços de terceiros utilizados como proxy pelos atacantes. Também é relevante instrumentar detecção de comportamento nos endpoints para identificar padrões como a criação de tarefas agendadas inesperadas, a execução de Edge por processos não habituais ou a geração de arquivos HTML temporários com conteúdo codificado. Para melhor compreender as capacidades do adversário e as técnicas que emprega, os repositórios e publicações técnicas da comunidade são um bom ponto de partida, além do próprio relatório da LAB52 já citado.
Operation MacroMaze demonstra que a higiene básica de segurança continua a ser determinante: restringir macros, aplicar segmentação de rede, registrar e analisar petições salientes e educar os usuários sobre spear-phishing não são medidas glamorosas, mas sim as mais eficazes diante de campanhas que se sustentam na combinação de engenharia social e reutilização de serviços legítimos. Se você quiser aprofundar como são usados campos como o INCLUDEPICTURE em documentos da Microsoft, a documentação oficial sobre a API e os campos do Word é útil: INCLUDEPICTURE — Microsoft Docs.
Em suma, a ameaça continua em evolução e apoia-se na criatividade operacional mais do que na complexidade técnica. Esse é um sinal para administradores e responsáveis pela segurança: monitorar as peças mais humildes do ambiente - um documento, um pequeno script ou uma chamada HTTP a um serviço público - pode marcar a diferença entre detectar a tempo uma intrusão ou perder o controle de uma equipe crítica.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...