Il gruppo di minacce noto come Paper Werewolf è stato recentemente identificato come responsabile di attacchi mirati contro entità russe. Utilizzando un nuovo impianto chiamato PowerModul, questi attacchi hanno colpito settori come i media, le telecomunicazioni, l'edilizia, le entità governative e il settore energetico. Secondo un recente rapporto di Kaspersky, questi attacchi si sono verificati tra luglio e dicembre 2024. Paper Werewolf, noto anche come GOFFEE, è stato associato ad almeno sette campagne dal 2022, principalmente mirate a organizzazioni governative, energetiche, finanziarie e mediatiche.

**Metodi di attacco**

Gli attacchi iniziano tipicamente con email di phishing che contengono documenti di esca con macro. Una volta aperti e abilitate le macro, queste email attivano un trojan di accesso remoto basato su PowerShell noto come PowerRAT. Il malware è stato progettato per infettare ulteriormente i sistemi con payload successivi, tra cui una versione personalizzata dell'agente del framework Mythic, noto come PowerTaskel o QwakMyAgent. Un altro strumento utilizzato è un modulo IIS malevolo chiamato Owowa, che consente di recuperare le credenziali di Microsoft Outlook inserite dagli utenti tramite il client web.

**Tecniche di infezione recenti**

I recenti attacchi documentati da Kaspersky iniziano con un allegato RAR malevolo contenente un eseguibile che si maschera come file PDF o Word utilizzando un'estensione doppia. Quando l'eseguibile viene eseguito, un file di esca viene scaricato da un server remoto e mostrato all'utente, mentre l'infezione continua in background. Una sequenza alternativa di attacco utilizza un archivio RAR che incorpora un documento Microsoft Office con macro che fungono da dropper per distribuire e avviare PowerModul, un script PowerShell in grado di ricevere ed eseguire ulteriori script PowerShell dal server di comando e controllo.

**Funzionalità di PowerModul e PowerTaskel**

PowerModul è stato utilizzato fin dall'inizio del 2024 per scaricare e eseguire PowerTaskel su host compromessi. Alcuni dei payload distribuiti da PowerModul includono FlashFileGrabber, che ruba file da supporti rimovibili e li esfiltra al server di comando e controllo, FlashFileGrabberOffline, una variante che copia i file con estensioni specifiche su disco locale, e USB Worm, che infetta i supporti rimovibili con una copia di PowerModul. PowerTaskel funziona in modo simile a PowerModul, ma è anche in grado di inviare informazioni sull'ambiente mirato e di eseguire comandi ricevuti come attività dal server di comando e controllo. È dotato anche della capacità di aumentare i privilegi utilizzando l'utilità PsExec.

In almeno un caso, PowerTaskel ha ricevuto uno script con un componente FolderFileGrabber che raccoglie file da sistemi remoti tramite un percorso di rete codificato utilizzando il protocollo SMB. Recentemente, è stato osservato che GOFFEE sta abbandonando l'uso di PowerTaskel a favore dell'agente binario Mythic durante i movimenti laterali. Questo sviluppo arriva mentre un altro gruppo di minacce, Sapphire Werewolf, è stato associato a una campagna di phishing che distribuisce una versione aggiornata del software di furto open-source Amethyst Stealer.