LAB52 zufolge fanden sich zwischen Ende September 2025 und Januar 2026 mehrere Dokumente mit leicht abgewandelten Makros. Alle funktionierten als Dropper, um auf dem kompromittierten System Fuß zu fassen und weitere Schadkomponenten nachzuladen.

Die Grundlogik der Makros blieb dabei konstant, doch die Skripte zeigen laut dem spanischen Sicherheitsunternehmen eine Weiterentwicklung der Ausweichtechniken: von der “Headless”-Ausführung eines Browsers in der älteren Variante bis hin zur Tastatursimulation über SendKeys in den neueren Versionen, um mögliche Sicherheitsabfragen zu umgehen.

Das Makro führt ein VBScript aus, das die Infektion in die nächste Stufe überführt. Das Skript startet eine CMD-Datei, die über geplante Aufgaben für Persistenz sorgt und ein Batch-Skript aufruft. Dieses rendert eine kleine, Base64-codierte HTML-Nutzlast in Microsoft Edge im Headless-Modus, um einer Erkennung zu entgehen, ruft einen Befehl vom webhook[.]site-Endpunkt ab, führt ihn aus, erfasst die Ausgabe und leitet sie als HTML-Datei an eine weitere webhook[.]site-Instanz aus.

Eine zweite Variante des Batch-Skripts verzichtet auf die Headless-Ausführung und verschiebt das Browserfenster stattdessen außerhalb des sichtbaren Bildschirmbereichs. Anschließend beendet sie alle übrigen Edge-Prozesse, um eine kontrollierte Umgebung sicherzustellen.

“Wenn die resultierende HTML-Datei von Microsoft Edge gerendert wird, wird das Formular abgeschickt, wodurch die gesammelte Befehlsausgabe ohne Zutun des Nutzers an den entfernten Webhook-Endpunkt ausgeleitet wird”, so LAB52. Diese browserbasierte Technik nutze Standard-HTML-Funktionen zur Datenübertragung und hinterlasse dabei möglichst wenige erkennbare Spuren auf der Festplatte.

Nach Einschätzung von LAB52 zeigt die Kampagne, dass Einfachheit wirkungsvoll sein kann: Der Angreifer setze sehr einfache Mittel ein – Batch-Dateien, kleine VBS-Starter und schlichtes HTML –, ordne sie aber sorgfältig an, um möglichst unauffällig zu bleiben. Dazu gehörten das Verlagern von Operationen in verborgene oder außerhalb des Bildschirms liegende Browsersitzungen, das Beseitigen von Spuren sowie das Auslagern von Nutzlastverteilung und Datenausleitung an weit verbreitete Webhook-Dienste.