Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Paper Werewolf despliega implante PowerModul en ataques cibernéticos dirigidos en sectores rusos
  • Tecnología

Paper Werewolf despliega implante PowerModul en ataques cibernéticos dirigidos en sectores rusos

teknomers 11 de Nisan de 2025 (Last updated: 11 de Nisan de 2025) 5 minutes read
Paper Werewolf despliega implante PowerModul en ataques cibernéticos dirigidos en


El actor de amenaza conocido como Lobo de papel ha sido observado exclusivamente dirigido a entidades rusas con un nuevo implante llamado Powermodul.

La actividad, que tuvo lugar entre julio y diciembre de 2024, destacó a las organizaciones en los medios de comunicación, las telecomunicaciones, la construcción, las entidades gubernamentales y los sectores de energía, Kaspersky dicho En un nuevo informe publicado el jueves.

Se evalúa que el papel Werewolf, también conocido como Goffee, realizó al menos siete campañas desde 2022, según Bi.Zone, con los ataques dirigidos principalmente al gobierno, la energía, la energía financiera, los medios y otras organizaciones.

También se ha observado que las cadenas de ataque montadas por el actor de la amenaza incorporan un componente disruptivo, en el que las intrusiones van más allá de la distribución de malware con fines de espionaje para cambiar también las contraseñas pertenecientes a las cuentas de los empleados.

Los ataques en sí se inician a través de correos electrónicos de phishing que contienen un documento de señuelo macro, que, al abrir y habilitar macros, allana el camino para el despliegue de un troyano de acceso remoto basado en PowerShell conocido como PowerRAT.

Ciberseguridad

El malware está diseñado para entregar una carga útil de la próxima etapa, a menudo una versión personalizada del agente del marco mítico conocido como PowerTaskel y Qwakmyagent. Otra herramienta en el Arsenal del actor de amenaza es un módulo IIS malicioso llamado OWOWA, que se utiliza para recuperar las credenciales de Microsoft Outlook ingresadas por los usuarios en el cliente web.

El último conjunto de ataques documentados por Kaspersky comienza con un archivo adjunto de archivo de rar malicioso que contiene un ejecutable que se disfraza de un PDF o un documento de Word usando una doble extensión (es decir, *.pdf.exe o *.doc.exe). Cuando se inicia el ejecutable, el archivo decoy se descarga desde un servidor remoto y se muestra al usuario, mientras que la infección continúa a la siguiente etapa en segundo plano.

“El archivo en sí es un archivo del sistema de Windows (explorer.exe o xpsrchvw.exe), con parte de su código parcheado con un shellcode malicioso”, dijo. “El Code Shell es similar a lo que vimos en ataques anteriores, pero además contiene un agente mítico ofuscado, que inmediatamente comienza a comunicarse con el servidor de comando y control (C2)”.

Paper Werewolf despliega PowerModul Implant

La secuencia de ataque alternativa es mucho más elaborada, utilizando un archivo de RAR que incrusta un documento de Microsoft Office con una macro que actúa como un gotero para implementar y lanzar PowerModul, un script de PowerShell capaz de recibir y ejecutar scripts de PowerShell adicionales del servidor C2.

Se dice que la puerta trasera se utilizó desde el comienzo de 2024, con los actores de amenaza inicialmente que lo usan para descargar y ejecutar PowerTaskel en hosts comprometidos. Algunas de las otras cargas útiles que caen por PowerModul se enumeran a continuación –

  • Flashfilegrabberque se utiliza para robar archivos de medios extraíbles, como unidades flash, y exfiltrarlos al servidor C2
  • FlashFilegrabBerofflineuna variante de FlashFilegrabber que busca medios extraíbles para archivos con extensiones específicas, y cuando se encuentra, copia el disco local dentro de la carpeta “%Temp% Cachestore Connect “
  • Gusano usbque es capaz de infectar medios extraíbles con una copia de PowerModul

PowerTaskel es funcionalmente similar a PowerModul en el sentido de que también está diseñado para ejecutar scripts de PowerShell enviados por el servidor C2. Pero además, puede enviar información sobre el entorno objetivo en forma de un mensaje de “verificar”, así como ejecutar otros comandos recibidos del servidor C2 como tareas. También está equipado para aumentar los privilegios utilizando la utilidad PSEXEC.

Ciberseguridad

En al menos un caso, se ha descubierto que PowerTaskel recibe un script con un componente de carpetas de FileGrabber que, además de replicar las características de FlashFileGrabber, incluye la capacidad de recopilar archivos de sistemas remotos a través de una ruta de red hardada utilizando el protocolo SMB.

“Por primera vez, emplearon documentos de palabras con guiones VBA maliciosos para infección inicial”, dijo Kaspersky. “Recientemente, hemos observado que Goffee está abandonando cada vez más el uso de PowerTaskel a favor del agente mítico binario durante el movimiento lateral”.

El desarrollo se produce como bi.zone atribuido Otro grupo de amenazas llamó a Sapphire Werewolf a una campaña de phishing que distribuye una versión actualizada del robador de amatistas de código abierto.

El Stealer recupera “credenciales de Telegram y varios navegadores, incluidos Chrome, Opera, Yandex, Brave, Orbitum, Atom, Kometa y Edge Chromium, así como archivos de configuración de Filezilla y SSH”, dijo la compañía rusa, y agregó que también puede obtener documentos, incluidos los almacenados en medios removibles.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Aduana no es una empresa de responsabilidad limitada: esta información puede ahorrar su dinero, fe o no
Next: A9 Cerrar todo el fin de semana, desde el lunes nuevamente en el freno para el puente Open Schiphol

Related Stories

La Rolls de Apple, el iPhone 17 Pro Max 512
  • Tecnología

La Rolls de Apple, el iPhone 17 Pro Max 512 Go, aprovecha las Rebajas para volverse más asequible

teknomers 2 de Temmuz de 2026
Canal+, Netflix, HBO Max y Apple TV reunidos por 29,99€
  • Tecnología

Canal+, Netflix, HBO Max y Apple TV reunidos por 29,99€ al mes con RAT+ La Totale

teknomers 2 de Temmuz de 2026
WhatsApp: aquí está el motivo por el que debes reservar
  • Tecnología

WhatsApp: aquí está el motivo por el que debes reservar tu nombre de usuario sin tardar

teknomers 2 de Temmuz de 2026

You May Have Missed

  • Deporte

Vitor Pereira: Nottingham Forest confirma la salida del entrenador mientras Oliver Glasner se perfila para el puesto.

teknomers 2 de Temmuz de 2026
  • General

¡Responde la pregunta!: Senadores arden contra testigo financiado por Soros en acalorada audiencia sobre fraude somalí en Minnesota – Teknomers

teknomers 2 de Temmuz de 2026
  • General

Vestido de doctor en un video generado por IA, Trump se victimiza ante las celebridades que se oponen a él.

teknomers 2 de Temmuz de 2026
  • General

Psicología del gran tamaño familiar: La psicología dice que las personas que crían numerosos hijos no toman decisiones de vida idénticas: ¿Qué revela el comportamiento?

teknomers 2 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.