駭客將防守方用來強化資安的工具，拿來用於攻擊行動，最常見的莫過於滲透測試工具Cobalt Strike，後來也出現利用Brute Ratel C4的事故，如今有人開始利用新的工具從事攻擊。

思科旗下威脅情報團隊Talos指出，他們在今年5月至7月，在惡意軟體分析平臺VirusTotal看到數個Office檔案，其共通點就是使用名為MacroPack的紅隊演練框架產生，經過分析發現，這些Office檔案被用於散布多種惡意程式的有效酬載，例如：滲透測試工具Brute Ratel C4、Havoc、RAT木馬程式PhantomCore，他們認為有多個駭客組織可能已在實際攻擊行動當中，開始利用MacroPack。

什麼是MacroPack？這是由法國資安公司BallisKit開發的紅隊演練框架，目的是讓紅隊演練自動化，能夠產生演練過程所需的相關檔案及工具，包含特製的LNK、URL檔，以及Office檔案，還有HTA、WSF、VBS、MSI等多種型態的指令碼，號稱能迴避防毒軟體及EDR的靜態分析、啟發式分析、行為分析機制。

研究人員指出，他們在看到前述的VirusTotal檔案當中，VBA程式碼具備類似的特徵，例如：都具備4個未經過混淆處理、無害的VBA子程式，循線調查確認，這些檔案皆由MacroPack產生。值得留意的是，他們也提及該框架產生的檔案，會更動功能及參數名稱，並移除註解與多餘的空格，然後經過混淆處理，導致察覺這些檔案有害變得更為困難。

而對於攻擊者的身分，研究人員起初認為僅有一組人馬濫用MacroPack，但他們發現VirusTotal的檔案來自多個國家，推測已有多組駭客利用這項框架。

他們總共歸納出4起攻擊行動，其中一起範圍涵蓋臺灣、中國、巴基斯坦而相當受到注意，駭客藉此散布Havoc和Brute Ratel C4有效負載，而這些惡意程式會連往位於中國河南的C2伺服器。

另一起針對巴基斯坦的攻擊行動，駭客也是散布Brute Ratel C4，但特別的是，他們濫用了DNS over HTTPS（DOH）及Amazon CloudFront。

也有駭客用於攻擊俄羅斯、美國。針對俄羅斯的部分，攻擊者企圖散布Go語言打造的後門程式PhantomCore；對於發生在美國的攻擊事故，駭客執行多階段VBA程式碼，並在濫用mshta.exe下載有效酬載之前，確認是否存在沙箱環境。

值得留意的是，美國這波攻擊行動可追溯到2023年3月，代表駭客濫用MacroPack的時間已超過一年半。