El grupo de ciberespionaje Paper Werewolf, también conocido como GOFFEE, ha sido identificado como responsable de una serie de ataques dirigidos exclusivamente a entidades rusas mediante un nuevo implante malicioso denominado PowerModul.
Según un informe de Kaspersky, publicado el pasado jueves, la actividad de este actor de amenazas se registró entre julio y diciembre de 2024, afectando a organizaciones de los sectores medios de comunicación, telecomunicaciones, construcción, entidades gubernamentales y energía.
Desde 2022, Paper Werewolf ha llevado a cabo al menos siete campañas dirigidas a organizaciones de gobierno, energía, finanzas y medios de comunicación, según informes de BI. ZONE.
Características y tácticas del ataque de Paper Werewolf
Uno de los aspectos más preocupantes de los ataques de Paper Werewolf es que no solo distribuyen malware con fines de espionaje, sino que también incluyen un componente disruptivo: la modificación de contraseñas de las cuentas de los empleados, lo que dificulta la detección y recuperación de los sistemas comprometidos.
Método de infección inicial
El ataque comienza con un correo electrónico de phishing que contiene un documento malicioso con macros habilitadas. Cuando el usuario abre el archivo y permite la ejecución de macros, se activa un troyano de acceso remoto (RAT) basado en PowerShell llamado PowerRAT.
Una vez instalado, PowerRAT se encarga de descargar una segunda carga maliciosa, que puede incluir variantes personalizadas del agente del framework Mythic, como PowerTaskel y QwakMyAgent.
Además, los atacantes utilizan un módulo IIS malicioso llamado Owowa, diseñado para capturar credenciales de Microsoft Outlook Web Access (OWA).
Nuevo conjunto de ataques y el uso de PowerModul
En la última campaña documentada por Kaspersky, los atacantes han adoptado un nuevo enfoque utilizando archivos RAR maliciosos que contienen un ejecutable disfrazado como un documento PDF o Word mediante una doble extensión, como:
✅ archivo.pdf.exe
✅ documento.doc.exe
Cuando el usuario abre el archivo, un documento señuelo se descarga desde un servidor remoto y se muestra en pantalla, mientras que en segundo plano se ejecuta el shellcode malicioso.
Kaspersky ha señalado que este shellcode es similar al utilizado en ataques anteriores, pero con la diferencia de que contiene un agente mítico ofuscado, el cual se comunica directamente con el servidor de comando y control (C2) de los atacantes.
Método alternativo de ataque
Otro vector de ataque detectado es más sofisticado. En este caso, el archivo RAR malicioso incluye un documento de Microsoft Office con una macro que actúa como un cuentagotas para desplegar PowerModul.
¿Qué es PowerModul y cómo funciona?
PowerModul es un script de PowerShell diseñado para recibir y ejecutar comandos desde el servidor C2. Se ha utilizado desde principios de 2024 y ha servido como un medio para distribuir otras cargas maliciosas, como PowerTaskel.
Algunas de las herramientas adicionales distribuidas a través de PowerModul incluyen:
🔹 FlashFileGrabber → Roba archivos de dispositivos de almacenamiento extraíbles (USB) y los transfiere al servidor C2.
🔹 FlashFileGrabberOffline → Variante de FlashFileGrabber que busca archivos con extensiones específicas en medios extraíbles y los almacena en el directorio local **%TEMP%\CacheStore\connect**.
🔹 USB Worm → Propaga PowerModul a otros dispositivos USB conectados al sistema comprometido.
Diferencias entre PowerTaskel y PowerModul
Aunque PowerTaskel y PowerModul comparten muchas funciones, hay algunas diferencias clave:
✅ PowerTaskel permite recibir y ejecutar comandos enviados desde el servidor C2.
✅ PowerTaskel puede enviar un mensaje de «checkin» con información del sistema comprometido.
✅ PowerTaskel está diseñado para elevar privilegios utilizando la herramienta PsExec.
En al menos un caso documentado, PowerTaskel ejecutó un script adicional con el componente FolderFileGrabber, diseñado para recopilar archivos de sistemas remotos mediante el protocolo SMB.
Evolución de las tácticas de ataque
Según Kaspersky, por primera vez los atacantes emplearon documentos de Word con macros VBA como vector de infección inicial. Sin embargo, se ha observado que GOFFEE está abandonando PowerTaskel en favor de un agente mítico binario, que es más difícil de detectar.
Este cambio indica una evolución en las tácticas del grupo, priorizando técnicas más avanzadas para evadir la detección.
Otro grupo de ciberespionaje: Sapphire Werewolf
Paralelamente a las actividades de Paper Werewolf, el grupo de amenazas Sapphire Werewolf ha sido identificado por BI. ZONE como responsable de una campaña de phishing que distribuye una versión actualizada del ladrón de información Amatista.
Este malware es capaz de:
🔹 Robar credenciales de Telegram y navegadores como Chrome, Opera, Yandex, Brave, Orbitum, Atom, Kometa y Edge Chromium.
🔹 Extraer archivos de configuración de FileZilla y SSH.
🔹 Capturar documentos almacenados en dispositivos USB.
Conclusión: ¿Cómo protegerse de Paper Werewolf y otros ataques?
Los recientes ataques de Paper Werewolf y Sapphire Werewolf demuestran cómo los ciberdelincuentes continúan evolucionando sus técnicas para comprometer sistemas gubernamentales y corporativos en Rusia.
Para protegerse de estas amenazas, se recomienda:
✔️ No abrir archivos adjuntos sospechosos en correos electrónicos.
✔️ Deshabilitar macros en documentos de Office para evitar la ejecución de malware.
✔️ Mantener actualizado el software y los sistemas de seguridad.
✔️ Utilizar soluciones de seguridad avanzadas para detectar scripts maliciosos en PowerShell.
✔️ Monitorear el tráfico de red en busca de conexiones inusuales con servidores C2.
Dado el nivel de sofisticación de estos ataques, es fundamental que las organizaciones refuercen sus estrategias de ciberseguridad y eduquen a sus empleados sobre las amenazas emergentes.
Fuente: The Hacker News
