Juego de manos y (casi) sin fraude: los hackers ya pueden pulsar botones por ti en el sistema
Los algoritmos de seguridad flaquean ante código malicioso que se hace pasar por humanos.
El grupo APT28 llevó a cabo una serie de ataques dirigidos contra organizaciones en Europa Occidental y Central, empleando un esquema simple pero bien pensado basado en macros y webhooks. La campaña, denominada «Operación MacroMaze», fue registrada por el equipo LAB52 de la compañía S2 Grupo. Según su informe, la actividad se mantuvo desde septiembre de 2025 hasta enero de 2026 y se basó en la combinación de herramientas básicas y servicios en línea legítimos.
Los ataques comenzaban con correos dirigidos a empleados concretos. Los adjuntos contenían un documento con un elemento XML llamado «INCLUDEPICTURE», que apuntaba a una imagen alojada en webhook[.]site. Al abrir el archivo se realizaba automáticamente una solicitud HTTP al servidor remoto. De ese modo los atacantes recibían la señal de que el documento se había abierto y registraban datos técnicos de la petición. En esencia, el mecanismo funcionaba como un píxel de seguimiento, lo que permitía confirmar el interés por la carnada sin acciones adicionales por parte de la víctima.
Desde finales de septiembre los especialistas identificaron varias variantes de documentos con macros modificados. Todos actuaban como cargadores, se instalaban en el sistema y descargaban componentes adicionales. La lógica se mantenía, pero cambiaban las técnicas para eludir las defensas. Mientras que las versiones tempranas lanzaban el navegador Microsoft Edge en modo oculto sin interfaz, las posteriores empezaron a simular pulsaciones de teclas mediante la función SendKeys para sortear las advertencias del sistema de seguridad.
El macro ejecutaba un VBScript que, a su vez, activaba un archivo de comandos. Este creaba una tarea en el programador de tareas para persistir en el sistema y ejecutaba un script por lotes. Este último abría un pequeño archivo HTML codificado en Base64 en Microsoft Edge, recibía una orden desde una dirección webhook, la ejecutaba y enviaba el resultado a otro servidor en forma de documento HTML. En la segunda variante no se ocultaba por completo el navegador; en su lugar se desplazaba la ventana fuera de la pantalla y se terminaban todos los procesos de Edge restantes para controlar el entorno de ejecución.
Tras la visualización del archivo HTML se producía el envío automático de un formulario, y el resultado de la ejecución de la orden se enviaba al servidor remoto sin intervención del usuario. Este método permitía transmitir datos mediante los mecanismos estándar del navegador y minimizar las huellas en el disco.
En LAB52 subrayan que la campaña demuestra la eficacia de medios sencillos cuando se organizan adecuadamente. Los atacantes utilizaron archivos por lotes comunes, pequeños scripts en VBScript y HTML elemental, pero ocultaron las operaciones en sesiones del navegador invisibles o desplazadas fuera de la pantalla, limpiaron artefactos y se apoyaron en servicios de webhooks populares para entregar comandos y obtener datos.