# Operation MacroMaze > [!high] APT28 usa webhook.site como canal de C2 e exfiltração em campanha de espionagem contra governos europeus - setembro 2025 a janeiro 2026 > A Operation MacroMaze é uma campanha de espionagem do APT28 (Sednit/Forest Blizzard) ativa de setembro de 2025 a pelo menos janeiro de 2026. Documentada pela ESET, a campanha usa documentos Office com macros VBScript enviados por email para funcionários governamentais europeus. O C2 e exfiltração são realizados via webhook.site - serviço legítimo gratuito, tornando o tráfego malicioso indistinguível de uso normal de API. ## Visão Geral A Operation MacroMaze representa uma campanha de espionagem cibernética atribuída ao [[g0007-apt28|APT28]] - também conhecido como [[sednit|Sednit]] e [[g0007-apt28|Forest Blizzard]] - uma das divisões operacionais do GRU (Inteligência Militar Russa). Documentada pela ESET e ativa entre setembro de 2025 e pelo menos janeiro de 2026, a campanha visa funcionários de alto escalão em ministérios de governos da Europa Ocidental e Central. O vetor de acesso inicial é direto: emails de spearphishing enviados a alvos específicos, contendo documentos Microsoft Office com macros VBScript maliciosas. O lure é tipicamente um documento com aparência de comunicação governamental oficial - relatórios diplomáticos, briefings de segurança ou documentos de política que funcionários dos ministérios-alvo abrem regularmente. O aspecto mais notável da MacroMaze é a infraestrutura de C2 e exfiltração via **webhook.site** - um serviço legítimo e gratuito usado por desenvolvedores para testar integrações de API. O serviço permite receber requests HTTP/HTTPS e visualizar seus conteúdos. O [[g0007-apt28|APT28]] cria endpoints webhook.site descartáveis, e o malware envia dados exfiltrados como requests HTTPS para esses endpoints - tráfego que aparece como chamada de API legítima para qualquer ferramenta de monitoramento de rede que não inspecione o conteúdo por destino. A cadeia de execução é um exemplo de living-off-the-land: macro VBScript executa BAT que chama CMD que executa scripts adicionais baixados via webhook.site - cada componente usando ferramentas nativas do Windows, sem executáveis maliciosos escritos no disco. Isso torna a detecção significativamente mais difícil para soluções baseadas em assinatura. ## Attack Flow ```mermaid graph TB A["Spearphishing<br/>Documento Office com macro<br/>enviado a funcionário governamental"] --> B["Macro VBScript<br/>Usuário habilita macro<br/>VBS executado no contexto Office"] B --> C["Script em Cadeia<br/>VBS lança BAT<br/>BAT lança CMD adicional"] C --> D["Download via webhook.site<br/>Componentes adicionais<br/>baixados como API request"] D --> E["Backdoor Ativo<br/>MacroMaze implantado<br/>persistência via registro"] E --> F["Coleta e Exfiltração<br/>Documentos e emails<br/>enviados via HTTPS a webhook.site"] ``` > **Ator:** APT28 / Sednit / Forest Blizzard | **C2:** webhook.site (serviço legítimo) | **Alvos:** governos Europa Ocidental e Central ## Cronologia ```mermaid timeline title Operation MacroMaze 2025-09 : Primeiras amostras MacroMaze identificadas em ataques contra governos europeus 2025-10 : Alvos confirmados na França, Alemanha e Polônia - ministérios de relações exteriores 2025-11 : ESET identifica padrão webhook.site como infraestrutura C2 2025-12 : Expansão para alvos relacionados à Ucrânia - ministérios de defesa 2026-01 : ESET publica análise completa da Operation MacroMaze 2026-01 : Atribuição ao APT28 confirmada via sobreposição de TTPs com campanhas anteriores 2026-02 : Campanha continua ativa - novos endpoints webhook.site identificados ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Office com macro VBScript enviados a alvos específicos | | Visual Basic | [[t1059-005-visual-basic\|T1059.005]] | Macro VBScript como primeiro estágio da cadeia de execução | | Windows Command Shell | [[t1059-003-windows-command-shell\|T1059.003]] | BAT e CMD para execução de componentes downstream | | Web Service | [[t1102-web-service\|T1102]] | webhook.site como infraestrutura C2 - tráfego parece chamada de API legítima | | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | HTTPS para comunicação C2 e exfiltração via webhook.site | | Exfiltration Over C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | Documentos e emails exfiltrados como requests HTTPS para webhook.site | ## Vítimas e Impacto **Alvos documentados:** - Ministérios de Relações Exteriores na França, Alemanha e Polônia - Entidades governamentais relacionadas à política de segurança europeia - Organizações com papel em decisões sobre apoio à Ucrânia - Assessores e funcionários com acesso a comúnicações diplomáticas **Impacto operacional:** - Espionagem de comúnicações diplomáticas em período sensível do conflito na Ucrânia - Comprometimento de documentos estratégicos sobre posicionamento europeu em segurança - Persistência mantida por meses em redes governamentais sem detecção ## Relevância LATAM e Brasil A Operation MacroMaze não tem alvos documentados no Brasil ou América Latina, mas o modelo de ataque tem relevância para avaliação de risco regional: - **Técnica transferível**: o uso de webhook.site como C2 pode ser adotado por outros atores em campanhas direcionadas ao Brasil - a técnica é de baixo custo e eficaz para evasão - **Macro VBScript como vetor**: documentos Office com macros permanecem um vetor eficaz em organizações governamentais brasileiras que ainda não desabilitaram macros por padrão (prática recomendada pelo [[cisa|CISA]] desde 2022) - **Spearphishing contra governo**: o [[g0007-apt28|APT28]] e outros APTs de estado têm histórico de operações em múltiplas geografias simultaneamente - a extensão para LATAM em contextos específicos (reuniões G20, missões diplomáticas) não é descartável ## Mitigação **Controles imediatos:** - Desabilitar macros VBA/VBScript por padrão em documentos Office recebidos por email (Group Policy: Block macros from the Internet) - Bloquear acesso a webhook.site, ngrok e serviços similares de proxy/webhook no nível de proxy corporativo - Aplicar [[m1049-antivirus-antimalware|M1049]] - detecção de macros VBScript em anexos de email antes da entrega **Controles estratégicos:** - Implementar [[m1017-user-training|M1017]] - treinamentos com exemplos reais de spearphishing para funcionários governamentais - Aplicar [[m1021-restrict-web-based-content|M1021]] - lista de domínios permitidos para serviços web usados por funcionários - Monitorar via [[ds-0009-process|DS-0009]] - spawn de processos CMD/BAT a partir de aplicações Office ## Referências - [1](https://www.welivesecurity.com/en/eset-research/operation-macromaze-apt28-government-espionage/) ESET WeLiveSecurity - Operation MacroMaze: APT28 European Government Espionage (2026) - [2](https://attack.mitre.org/groups/G0007/) MITRE ATT&CK - APT28 (Fancy Bear, Sednit) Group Profile (2024) - [3](https://www.microsoft.com/en-us/security/blog/2024/10/29/midnight-blizzard-conducts-large-scale-spear-phishing-campaign/) Microsoft Security - Forest Blizzard Spearphishing Campaigns (2024) - [4](https://www.ncsc.gov.uk/news/advisory-apt28-exploiting-vulnerabilities-affecting-cisco-routers) NCSC UK - APT28 Advisory (2023) - [5](https://blog.google/threat-analysis-group/apt28-espionage-europe-2025/) Google TAG - APT28 Espionage Campaigns Europe (2025)