黑客将防守方用来强化资安的工具，拿来用于攻击行动，最常见的莫过于渗透测试工具Cobalt Strike，后来也出现利用Brute Ratel C4的事故，如今有人开始利用新的工具从事攻击。

思科旗下威胁情报团队Talos指出，他们在今年5月至7月，在恶意软件分析平台VirusTotal看到数个Office文件，其共通点就是使用名为MacroPack的红队演练框架产生，经过分析发现，这些Office文件被用于散布多种恶意程序的有效酬载，例如：渗透测试工具Brute Ratel C4、Havoc、RAT木马程序PhantomCore，他们认为有多个黑客组织可能已在实际攻击行动当中，开始利用MacroPack。

什么是MacroPack？这是由法国资安公司BallisKit开发的红队演练框架，目的是让红队演练自动化，能够产生演练过程所需的相关文件及工具，包含特制的LNK、URL档，以及Office文件，还有HTA、WSF、VBS、MSI等多种型态的脚本，号称能回避杀毒软件及EDR的静态分析、启发式分析、行为分析机制。

研究人员指出，他们在看到前述的VirusTotal文件当中，VBA代码具备类似的特征，例如：都具备4个未经过混淆处理、无害的VBA子程序，循线调查确认，这些文件皆由MacroPack产生。值得留意的是，他们也提及该框架产生的文件，会更动功能及参数名称，并移除注解与多余的空格，然后经过混淆处理，导致察觉这些文件有害变得更为困难。

而对于攻击者的身分，研究人员起初认为仅有一组人马滥用MacroPack，但他们发现VirusTotal的文件来自多个国家，推测已有多组黑客利用这项框架。

他们总共归纳出4起攻击行动，其中一起范围涵盖台湾、中国、巴基斯坦而相当受到注意，黑客借此散布Havoc和Brute Ratel C4有效负载，而这些恶意程序会连往位于中国河南的C2服务器。

另一起针对巴基斯坦的攻击行动，黑客也是散布Brute Ratel C4，但特别的是，他们滥用了DNS over HTTPS（DOH）及Amazon CloudFront。

也有黑客用于攻击俄罗斯、美国。针对俄罗斯的部分，攻击者企图散布Go语言打造的后门程序PhantomCore；对于发生在美国的攻击事故，黑客运行多阶段VBA代码，并在滥用mshta.exe下载有效酬载之前，确认是否存在于沙箱环境。

值得留意的是，美国这波攻击行动可追溯到2023年3月，这代表黑客滥用MacroPack的时间已超过一年半。