أفادت شركة الأمن السيبراني الإسبانية S2 Grupo أن مجموعة التهديد الروسية المرتبطة بالدولة والمعروفة باسم APT28 شنت حملة جديدة بين سبتمبر 2025 ويناير 2026 ضد كيانات في أوروبا الغربية والوسطى. الحملة التي أُطلق عليها اسم Operation MacroMaze اعتمدت على أدوات بسيطة لكنها وظفت خدمات شرعية للبنية التحتية وتسريب البيانات، مما منحها قدرة عالية على التخفي.
أسلوب الهجوم عبر رسائل التصيّد
بدأت السلسلة الهجومية برسائل تصيّد موجهة (Spear-phishing) تحتوي على مستندات إغراء. هذه المستندات تضمنت حقلاً باسم INCLUDEPICTURE داخل بنية XML يشير إلى رابط webhook[.]site يستضيف صورة JPG. عند فتح المستند، يتم جلب الصورة من الخادم البعيد، مما يخلق آلية تشبه “بيكسل التتبع” لتأكيد فتح المستند عبر تسجيل بيانات الاتصال الصادرة.
تطور تقنيات الماكرو
رصد الباحثون عدة نسخ من المستندات مع تعديلات طفيفة في الماكرو، لكنها جميعاً عملت كـ “Dropper” لتثبيت موطئ قدم أولي على الجهاز المصاب.
المنطق الأساسي بقي ثابتاً، لكن تقنيات التهرب تطورت: النسخ الأقدم اعتمدت على تشغيل المتصفح في وضع “Headless”، بينما النسخ الأحدث استخدمت محاكاة لوحة المفاتيح (SendKeys) لتجاوز النوافذ الأمنية المحتملة.
مراحل التنفيذ والتسريب
الماكرو ينفذ VBScript لنقل العدوى إلى المرحلة التالية، حيث يتم تشغيل ملف CMD لإنشاء مهام مجدولة تضمن الاستمرارية، ثم إطلاق ملف Batch يعرض حمولة HTML مشفرة بـ Base64 في متصفح Microsoft Edge بوضع مخفي.
هذه الحمولة تستدعي أوامر من خادم webhook[.]site، تنفذها محلياً، ثم تجمع المخرجات وتعيد إرسالها إلى خادم آخر بنفس الخدمة. نسخة أخرى من السكربت تخلت عن الوضع المخفي واختارت نقل نافذة المتصفح خارج الشاشة، مع إنهاء جميع عمليات Edge الأخرى لضمان بيئة محكمة.
قوة البساطة في الهجمات
أوضحت S2 Grupo أن هذه التقنية تعتمد على وظائف HTML القياسية لنقل البيانات، مما يقلل من الآثار القابلة للكشف على القرص. ورغم بساطة الأدوات المستخدمة (ملفات Batch صغيرة، مشغلات VBS، وHTML بسيط)، إلا أن ترتيبها بعناية منح المهاجمين قدرة عالية على التخفي، عبر تشغيل العمليات في جلسات مخفية أو خارج الشاشة، تنظيف الآثار، والاعتماد على خدمات Webhook شائعة الاستخدام لتسليم الحمولة وتسريب البيانات.
