- APT28 (Fancy Bear) dilaporkan menjalankan “Operasi MacroMaze” sejak September 2025
- Email spear-phishing dengan dokumen Word yang sarat makro digunakan untuk menjatuhkan pencuri informasi
- Rantai serangan bergantung pada skrip sederhana dan HTML, memaksimalkan stealth dan persistensi
APT28, kelompok peretas terkenal yang disponsori negara Rusia yang juga dikenal sebagai Fancy Bear, atau Sofacy, telah diamati menargetkan “entitas tertentu” di Eropa Barat dan Tengah dengan pencuri informasi.
Dalam laporan yang baru dirilis, peneliti keamanan Lab52 dari S2 Grupo merinci “Operasi MacroMaze”, yang telah berlangsung setidaknya sejak akhir September 2025 hingga Januari 2026.
Kampanye ini dimulai dengan email spear-phishing yang sangat dipersonalisasi. Topik dan isinya bermacam-macam, namun sebagian besar berkaitan dengan tema diplomatik. Dalam satu contoh, para peneliti mengatakan mereka melihat salinan agenda diplomatik resmi yang sedikit diubah sedang didistribusikan.
Dokumen Word dan makro
Email-email tersebut akan datang dengan sarat makro Microsoft Dokumen Office Word. Makro adalah program atau skrip kecil yang dapat dibuat di dalam Microsoft Word untuk mengotomatiskan tugas yang berulang. Namun, mereka sering disalahgunakan selama bertahun-tahun sehingga Microsoft menonaktifkannya secara default, terutama untuk file yang diunduh dari internet.
Namun, penyerang dengan hati-hati merancang file Word berdasarkan fakta tersebut, menipu korban agar mengaktifkan makro dan menjalankan kode berbahaya. Lab52 juga mengatakan bahwa perangkat lunak perusak dirancang untuk memberi tahu penyerang ketika korban benar-benar mengeksekusi file tersebut.
Ketika mereka melakukan hal tersebut, mereka memicu reaksi berantai yang, alih-alih menghapus satu varian malware pencuri infostealer, mereka malah menjatuhkan beberapa skrip kecil dan templat HTML.
Kegigihan ini membangun, merekonstruksi muatan perintah dari fragmen yang diunduh, mengumpulkan informasi sistem dasar, dan menyaring hasilnya melalui formulir HTML yang dikirimkan secara otomatis.
“Kampanye ini membuktikan bahwa kesederhanaan dapat memberikan manfaat,” jelas para peneliti. “Penyerang menggunakan alat yang sangat mendasar (file batch, peluncur VBS kecil, dan HTML sederhana) namun mengaturnya dengan hati-hati untuk memaksimalkan kerahasiaan: Memindahkan operasi ke sesi browser tersembunyi atau di luar layar, membersihkan artefak, dan melakukan outsourcing pengiriman muatan dan eksfiltrasi data ke layanan webhook yang banyak digunakan.”
Kelompok di belakang Operasi MacroMaze, APT28, telah secara aktif terlibat dalam “Operasi Militer Khusus” Rusia, yang menyerang infrastruktur Ukraina, dan sekutu-sekutunya, ketika mereka membawa perang melawan Ukraina ke dunia maya.
Melalui Berita Peretas
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
