# MacroMaze Backdoor > [!high] Dropper APT28 com Macros Office e Infraestrutura Legítima - Ativo desde 2025 > O MacroMaze é o nome dado ao componente dropper utilizado na Operation MacroMaze, campanha do APT28 ativa entre setembro de 2025 e janeiro de 2026, que entrega payloads via macros em documentos Office disfarçados de comúnicações governamentais, usando serviços legítimos de webhook para exfiltração. ## Descrição O [[macromaze-backdoor|MacroMaze Backdoor]] é o componente malicioso central da **Operation MacroMaze**, uma campanha atribuída ao [[g0007-apt28|APT28]] (também rastreado como Fancy Bear, Forest Blizzard ou FROZENLAKE) ativa entre setembro de 2025 e janeiro de 2026, com foco em entidades governamentais e institucionais da Europa Ocidental e Central. O malware funciona como um **dropper baseado em macros VBA** em documentos Office, com múltiplas variantes identificadas ao longo da campanha. A característica técnica mais notável do MacroMaze é a utilização de **serviços legítimos de webhook** (específicamente o webhook.site) como infraestrutura de comando e controle e canal de exfiltração. Essa abordagem dificulta a detecção baseada em reputação de domínio e permite que o tráfego malicioso se misture com comúnicações legítimas para serviços populares. As instâncias de webhook são efêmeras e rapidamente descartadas, tornando o rastreamento da infraestrutura particularmente difícil. A campanha foi identificada a partir de um isca notável: um documento forjado de agenda oficial supostamente proveniente do **Ministério da Presidência, Justiça e Relações com os Tribunais da Espanha**, deliberadamente criado para espelhar o conteúdo do site oficial La Moncloa. Ao longo da campanha, pelo menos **quatro variantes de macro** foram identificadas, com evolução crescente de sofisticação: versões iniciais utilizavam execução de navegador sem interface; em outubro de 2025 foi adicionada uma mensagem de erro falsa do Microsoft Word para enganar vítimas; em janeiro de 2026 foi incorporada **simulação de teclas (SendKeys)** para dispensar automaticamente avisos de segurança de "Habilitar Conteúdo", simulando pressionamentos físicos de tecla. O APT28 expandiu seu arsenal com o backdoor relacionado **NotDoor**, um backdoor em macro VBA para Outlook que monitora e-mails recebidos por palavras-gatilho para executar comandos, exfiltrar arquivos e conduzir reconhecimento, demonstrando o investimento do grupo em técnicas baseadas em macros como vetor de acesso sustentado. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-002-spearphishing-attachment\|T1566.002]] | Documentos Office com macro via spear-phishing | | Execution | [[t1204-002-malicious-file\|T1204.002]] | Execução de macro habilitada pelo usuário | | Execution | [[t1059-005-visual-basic\|T1059.005]] | Macros VBA com scripts VBS, BAT, CMD, HTML | | Defense Evasion | [[t1027-obfuscated-files\|T1027]] | Obfuscação de scripts e payloads embutidos | | Persistence | [[t1547-001-registry-run-keys\|T1547.001]] | Arquivos com nomes GUID em %USERPROFILE% | | Collection | [[t1005-data-from-local-system\|T1005]] | Coleta de dados locais antes da exfiltração | | Exfiltration | [[t1567-exfiltration-over-web-service\|T1567]] | Exfiltração via webhook.site (serviço legítimo) | ## Grupos que Usam - [[g0007-apt28|APT28]] (Fancy Bear / Forest Blizzard / FROZENLAKE) - principal operador confirmado da campanha - Grupo vinculado à inteligência militar russa (GRU) ## Detecção - Detectar processos filho do Microsoft Word ou Excel criando arquivos com nomes GUID no diretório `%USERPROFILE%`, especialmente com extensões `.vbs`, `.bat`, `.cmd` ou `.html` - Monitorar conexões de saída de processos do Office para domínios `webhook.site` ou outros serviços de webhook legítimos que não deveriam ser acessados por aplicações do Office - Implementar políticas de Group Policy para desabilitar macros em documentos recebidos por e-mail e bloquear macros não assinadas por certificados confiáveis - Detectar uso de `SendKeys` em macros Office, técnica utilizada na variante de janeiro de 2026 para contornar avisos de segurança automaticamente ```sigma title: MacroMaze - Office Process Spawning Suspicious Files status: experimental logsource: category: process_creation product: windows detection: selection: ParentImage|endswith: - '\WINWORD.EXE' - '\EXCEL.EXE' - '\POWERPNT.EXE' Image|endswith: - '\wscript.exe' - '\cscript.exe' - '\cmd.exe' - '\powershell.exe' condition: selection level: high tags: - attack.execution - attack.t1059.005 ``` ## Relevância LATAM/Brasil A Operation MacroMaze foi documentada com foco em entidades europeias, mas a métodologia do APT28 de usar documentos oficiais forjados de ministérios governamentais é diretamente aplicável ao contexto brasileiro. Organizações do [[government|governo]] brasileiro que mantêm comúnicações com parceiros europeus podem receber documentos de isca forjados como correspondência oficial. O uso de serviços legítimos como webhook.site para exfiltração é uma técnica que evade controles de proxy e firewall baseados em reputação, comuns em ambientes corporativos e governamentais brasileiros. O APT28 tem histórico documentado de campanhas contra organizações de defesa, energia e governo em múltiplos continentes, e a expansão do vetor macro como ponto de entrada sustentado representa uma ameaça persistente para qualquer organização que use o Microsoft Office. **Setores alvejados:** [[government|governo]] - [[defense|defesa]] - entidades governamentais europeias (com potencial de expansão) ## Referências - [1](https://lab52.io/blog/operation-macromaze-new-apt28-campaign-using-basic-tooling-and-legit-infrastructure/) Lab52 - Operation MacroMaze: New APT28 Campaign (2025) - [2](https://thehackernews.com/2026/02/apt28-targeted-european-entities-using.html) The Hacker News - APT28 Targeted European Entities Using MacroMaze (2026) - [3](https://lab52.io/blog/analyzing-notdoor-inside-apt28s-expanding-arsenal/) Lab52 - Analyzing NotDoor: Inside APT28's Expanding Arsenal (2025) - [4](https://attack.mitre.org/groups/G0007/) MITRE ATT&CK - APT28 Group Profile (G0007)