Uma campanha atribuída ao APT28 usou documentos com um detalhe sorrateiro: ao abrir, o arquivo dispara um “sinal” para um serviço de webhook, confirmando que o conteúdo foi acessado. A partir daí, macros e scripts simples podem avançar a execução e enviar resultados para fora usando infraestrutura “legítima”. Entenda o que aconteceu e o checklist prático para reduzir risco.

🧠 O que aconteceu

O The Hacker News publicou em 23/02/2026 que o grupo rastreado como APT28 foi associado a uma campanha contra entidades específicas na Europa Ocidental e Central. A atividade teria sido observada entre setembro de 2025 e janeiro de 2026 e recebeu o codinome “Operation MacroMaze”.

O ponto que chama atenção não é “mágica” de malware sofisticado, e sim engenharia bem planejada: a cadeia começa com spear-phishing (golpe por e-mail/mensagem direcionado) e um documento isca. Esse documento carrega um elemento estrutural no XML chamado “INCLUDEPICTURE” apontando para uma URL em webhook[.]site que hospeda uma imagem (JPG). Quando o arquivo é aberto, ele tenta buscar a imagem no servidor remoto.

Na prática, isso funciona como um beacon (sinalizador): a abertura do documento dispara uma requisição HTTP para o webhook, permitindo ao operador registrar metadados e confirmar que o destinatário abriu o arquivo. É o equivalente digital de um “sensor de presença” discreto — você não vê, mas ele percebe que alguém entrou.

🎯 Quem é impactado e por quê

A notícia descreve que o alvo foram entidades específicas na Europa Ocidental e Central. O texto não lista nomes, setores ou países detalhados, então o cuidado aqui é não extrapolar. Ainda assim, dá para tirar uma lição aplicável a qualquer organização: esse tipo de cadeia funciona porque explora rotinas comuns (abrir anexos, responder e-mails, habilitar macro “só desta vez”).

O risco não é apenas “abrir um documento”. O risco é transformar um ato cotidiano em um gatilho de telemetria e execução. Quando o atacante confirma que o arquivo foi aberto, ele reduz incerteza e pode direcionar o esforço para quem “mordeu a isca”, aumentando eficiência e furtividade.

🧪 O que a notícia indica (técnicas/sinais)

O que dá para afirmar com segurança

A matéria aponta que foram identificados múltiplos documentos com macros (com pequenas variações) entre o fim de setembro de 2025 e janeiro de 2026. Esses documentos funcionariam como droppers (iniciadores) para estabelecer presença inicial no host e entregar cargas adicionais.

Também há evolução de técnicas de evasão: versões mais antigas mencionam execução “headless” (sem interface) e versões mais novas citam simulação de teclado (SendKeys) para potencialmente contornar prompts.

A cadeia descrita segue este encadeamento:

  • Macro executa um VBScript.
  • O VBScript aciona um arquivo CMD e scripts batch.
  • Persistência é estabelecida via Scheduled Tasks (tarefas agendadas).
  • Um pequeno payload HTML em Base64 é renderizado no Microsoft Edge, com a intenção de buscar comando do endpoint no webhook, executar, capturar saída e exfiltrar para outro webhook como arquivo HTML.
  • Há ainda menção a uma variante que evita “headless” movendo a janela do browser para fora da tela e encerrando outros processos do Edge para manter um ambiente controlado.

Atenção a anexos com macro, criação de tarefas agendadas inesperadas e comportamento anômalo do navegador (Edge) associado a execução automatizada e tráfego para serviços de webhook.

✅ Como se proteger

Checklist rápido

Aqui vai o feijão com arroz — que, na vida real, é o que separa “quase incidente” de “incidente com ticket infinito”:

  • Política de macro: limite ao máximo e trate exceção como mudança controlada (quem pediu, por quê, por quanto tempo).
  • Treinamento prático: menos cartilha, mais cenário real (anexo inesperado, urgência artificial, pedido fora do processo).
  • Validação por canal alternativo: se o e-mail pede algo incomum, confirme por telefone/Teams/WhatsApp corporativo antes de abrir.
  • Endpoint e logs: monitore criação de tarefas agendadas e execuções incomuns associadas a anexos/Office.
  • Saída para a internet: tenha visibilidade de tráfego HTTP para domínios/serviços que não são parte do seu dia a dia (incluindo webhooks).
  • Resposta rápida: se alguém abriu e suspeitou, isole, preserve evidências e faça triagem antes de “clicar mais”.

🛡️ Como a Neologik ajuda: Neologik Safe

O Neologik Safe combina governança e operação de cibersegurança para reduzir o risco de spear-phishing (golpe por e-mail/mensagem direcionado) e acelerar a detecção/resposta quando surgem sinais de execução suspeita e exfiltração fora do padrão.

Saiba mais: https://neologik.com.br/solucoes#safe

🔗 Referências

[The Hacker News] (23/02/2026) — https://thehackernews.com/2026/02/apt28-targeted-european-entities-using.html

Leia mais

A Neologik é uma empresa de tecnologia especializada em infraestrutura, nuvem, cibersegurança e backup corporativo, oferecendo soluções completas para negócios que buscam eficiência, segurança e evolução digital.

Quem somosSoluçõesTech TrendsJunte-se a nósFale conosco
CNPJ: 46.344.226/0001-00
Av. Engenheiro Luís Carlos Berrini, 1748
© 2025 Neologik — Tecnologia para evoluir, não para complicar.
Política de Privacidade
WhatsApp