Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

APT28 Targeted European Entities Using Webhook-Based Macro Malware

2 minute de lecture

Mis à jour :

Voici un compte rendu de l’article :

Campagne APT28 : Malware basé sur les webhooks ciblant l’Europe

Le groupe de cybercriminalité APT28, lié à la Russie, est à l’origine d’une campagne malveillante baptisée “Operation MacroMaze”, active entre septembre 2025 et janvier 2026. Elle a ciblé des entités en Europe occidentale et centrale. L’opération utilise des méthodes simples mais efficaces, exploitant des services légitimes pour son infrastructure et l’exfiltration de données.

Les attaques débutent par des e-mails de spear-phishing contenant des documents leurre. Ces documents intègrent une balise “INCLUDEPICTURE” pointant vers une URL de webhook. L’ouverture du document déclenche une requête HTTP vers ce webhook, confirmant ainsi que le document a été ouvert par la victime.

Les macros intégrées dans ces documents servent de goutteurs, établissant une présence sur le système compromis et déployant des charges utiles supplémentaires. Les scripts ont évolué pour intégrer des techniques d’évasion, passant de l’exécution de navigateur “headless” à l’utilisation de simulations de frappes clavier pour contourner les protections.

Le malware progresse en exécutant un script VBScript, qui lance un fichier CMD pour établir la persistance via des tâches planifiées. Ensuite, un script batch est exécuté pour afficher une petite charge utile HTML encodée en Base64 dans Microsoft Edge en mode “headless”. Ce processus permet de récupérer une commande depuis un endpoint webhook, de l’exécuter, de capturer le résultat et de l’exfiltrer vers un autre webhook sous forme de fichier HTML. Une variante du script batch cache la fenêtre du navigateur hors écran et termine les autres processus Edge pour un environnement contrôlé.

Cette technique d’exfiltration basée sur le navigateur utilise les fonctionnalités HTML standards pour transmettre des données, minimisant les traces numériques sur le disque. La simplicité des outils employés (fichiers batch, scripts VBS, HTML basique) combinée à une exécution furtive (sessions de navigateur cachées, suppression des artefacts) rend cette campagne particulièrement discrète.

Points Clés :

  • Acteur : APT28 (groupe lié à la Russie)
  • Campagne : Operation MacroMaze
  • Période : Septembre 2025 - Janvier 2026
  • Cibles : Entités en Europe occidentale et centrale
  • Méthodologie : Spear-phishing, macros, webhooks, scripts batch, VBScript, exécution de navigateur “headless” ou hors écran.
  • Objectif : Établir une présence, déployer des charges utiles, exfiltrer des données.

Vulnérabilités :

  • L’article ne mentionne pas de vulnérabilités spécifiques identifiées avec des numéros CVE exploitées directement dans les systèmes ciblés. L’exploitation repose sur des fonctionnalités de documents et des services web standards, ainsi que sur des mécanismes d’exécution de scripts.

Recommandations :

  • Renforcer la vigilance face aux e-mails de spear-phishing.
  • Mettre à jour les logiciels de sécurité pour détecter les macros malveillantes.
  • Configurer les politiques de sécurité pour restreindre l’exécution de scripts et de macros non approuvés.
  • Surveiller le trafic réseau sortant vers des services de webhook potentiellement suspects.
  • Sensibiliser les utilisateurs aux risques d’ouverture de documents provenant de sources non fiables.

Source

Vous pourriez aimer