Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Paper Werewolf despliega implante PowerModul en ataques cibernéticos dirigidos en sectores rusos
  • Tecnología

Paper Werewolf despliega implante PowerModul en ataques cibernéticos dirigidos en sectores rusos

teknomers 11 de Nisan de 2025 (Last updated: 11 de Nisan de 2025) 5 minutes read
Paper Werewolf despliega implante PowerModul en ataques cibernéticos dirigidos en


El actor de amenaza conocido como Lobo de papel ha sido observado exclusivamente dirigido a entidades rusas con un nuevo implante llamado Powermodul.

La actividad, que tuvo lugar entre julio y diciembre de 2024, destacó a las organizaciones en los medios de comunicación, las telecomunicaciones, la construcción, las entidades gubernamentales y los sectores de energía, Kaspersky dicho En un nuevo informe publicado el jueves.

Se evalúa que el papel Werewolf, también conocido como Goffee, realizó al menos siete campañas desde 2022, según Bi.Zone, con los ataques dirigidos principalmente al gobierno, la energía, la energía financiera, los medios y otras organizaciones.

También se ha observado que las cadenas de ataque montadas por el actor de la amenaza incorporan un componente disruptivo, en el que las intrusiones van más allá de la distribución de malware con fines de espionaje para cambiar también las contraseñas pertenecientes a las cuentas de los empleados.

Los ataques en sí se inician a través de correos electrónicos de phishing que contienen un documento de señuelo macro, que, al abrir y habilitar macros, allana el camino para el despliegue de un troyano de acceso remoto basado en PowerShell conocido como PowerRAT.

Ciberseguridad

El malware está diseñado para entregar una carga útil de la próxima etapa, a menudo una versión personalizada del agente del marco mítico conocido como PowerTaskel y Qwakmyagent. Otra herramienta en el Arsenal del actor de amenaza es un módulo IIS malicioso llamado OWOWA, que se utiliza para recuperar las credenciales de Microsoft Outlook ingresadas por los usuarios en el cliente web.

El último conjunto de ataques documentados por Kaspersky comienza con un archivo adjunto de archivo de rar malicioso que contiene un ejecutable que se disfraza de un PDF o un documento de Word usando una doble extensión (es decir, *.pdf.exe o *.doc.exe). Cuando se inicia el ejecutable, el archivo decoy se descarga desde un servidor remoto y se muestra al usuario, mientras que la infección continúa a la siguiente etapa en segundo plano.

“El archivo en sí es un archivo del sistema de Windows (explorer.exe o xpsrchvw.exe), con parte de su código parcheado con un shellcode malicioso”, dijo. “El Code Shell es similar a lo que vimos en ataques anteriores, pero además contiene un agente mítico ofuscado, que inmediatamente comienza a comunicarse con el servidor de comando y control (C2)”.

Paper Werewolf despliega PowerModul Implant

La secuencia de ataque alternativa es mucho más elaborada, utilizando un archivo de RAR que incrusta un documento de Microsoft Office con una macro que actúa como un gotero para implementar y lanzar PowerModul, un script de PowerShell capaz de recibir y ejecutar scripts de PowerShell adicionales del servidor C2.

Se dice que la puerta trasera se utilizó desde el comienzo de 2024, con los actores de amenaza inicialmente que lo usan para descargar y ejecutar PowerTaskel en hosts comprometidos. Algunas de las otras cargas útiles que caen por PowerModul se enumeran a continuación –

  • Flashfilegrabberque se utiliza para robar archivos de medios extraíbles, como unidades flash, y exfiltrarlos al servidor C2
  • FlashFilegrabBerofflineuna variante de FlashFilegrabber que busca medios extraíbles para archivos con extensiones específicas, y cuando se encuentra, copia el disco local dentro de la carpeta “%Temp% Cachestore Connect “
  • Gusano usbque es capaz de infectar medios extraíbles con una copia de PowerModul

PowerTaskel es funcionalmente similar a PowerModul en el sentido de que también está diseñado para ejecutar scripts de PowerShell enviados por el servidor C2. Pero además, puede enviar información sobre el entorno objetivo en forma de un mensaje de “verificar”, así como ejecutar otros comandos recibidos del servidor C2 como tareas. También está equipado para aumentar los privilegios utilizando la utilidad PSEXEC.

Ciberseguridad

En al menos un caso, se ha descubierto que PowerTaskel recibe un script con un componente de carpetas de FileGrabber que, además de replicar las características de FlashFileGrabber, incluye la capacidad de recopilar archivos de sistemas remotos a través de una ruta de red hardada utilizando el protocolo SMB.

“Por primera vez, emplearon documentos de palabras con guiones VBA maliciosos para infección inicial”, dijo Kaspersky. “Recientemente, hemos observado que Goffee está abandonando cada vez más el uso de PowerTaskel a favor del agente mítico binario durante el movimiento lateral”.

El desarrollo se produce como bi.zone atribuido Otro grupo de amenazas llamó a Sapphire Werewolf a una campaña de phishing que distribuye una versión actualizada del robador de amatistas de código abierto.

El Stealer recupera “credenciales de Telegram y varios navegadores, incluidos Chrome, Opera, Yandex, Brave, Orbitum, Atom, Kometa y Edge Chromium, así como archivos de configuración de Filezilla y SSH”, dijo la compañía rusa, y agregó que también puede obtener documentos, incluidos los almacenados en medios removibles.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Aduana no es una empresa de responsabilidad limitada: esta información puede ahorrar su dinero, fe o no
Next: A9 Cerrar todo el fin de semana, desde el lunes nuevamente en el freno para el puente Open Schiphol

Related Stories

SK Hynix va a invertir más de 56 mil millones
  • Tecnología

SK Hynix va a invertir más de 56 mil millones de euros en nuevas fábricas de producción de chips

teknomers 2 de Temmuz de 2026
Gemini: Google prueba la IA que ve la carretera en
  • Tecnología

Gemini: Google prueba la IA que ve la carretera en coches

teknomers 2 de Temmuz de 2026
La Rolls de Apple, el iPhone 17 Pro Max 512
  • Tecnología

La Rolls de Apple, el iPhone 17 Pro Max 512 Go, aprovecha las Rebajas para volverse más asequible

teknomers 2 de Temmuz de 2026

You May Have Missed

  • Deporte

Copa Mundial 2026: Inglaterra mantiene en silencio la sede de México para evitar a los ruidosos locales

teknomers 2 de Temmuz de 2026
  • General

Lecciones de vida: Proverbio chino del día: “El que regresa de un viaje no es el mismo que el que partió” — Lecciones de vida sobre percepción, experiencia, aprendizaje, transformación y por qué el crecimiento comienza donde termina la comodidad.

teknomers 2 de Temmuz de 2026
  • General

« Un desastre »: el nuevo sistema de control europeo amenaza con paralizar los aeropuertos este verano, advierten los profesionales

teknomers 2 de Temmuz de 2026
  • Finanzas

«No queremos que se repita lo que sucedió en Brandt»: cita el 17 de septiembre para decidir el futuro de Duralex

teknomers 2 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.