{"id":1665345,"date":"2025-04-11T14:21:20","date_gmt":"2025-04-11T14:21:20","guid":{"rendered":"https:\/\/teknomers.com\/es\/paper-werewolf-despliega-implante-powermodul-en-ataques-ciberneticos-dirigidos-en-sectores-rusos\/"},"modified":"2025-04-11T14:21:25","modified_gmt":"2025-04-11T14:21:25","slug":"paper-werewolf-despliega-implante-powermodul-en-ataques-ciberneticos-dirigidos-en-sectores-rusos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/paper-werewolf-despliega-implante-powermodul-en-ataques-ciberneticos-dirigidos-en-sectores-rusos\/","title":{"rendered":"Paper Werewolf despliega implante PowerModul en ataques cibern\u00e9ticos dirigidos en sectores rusos"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Paper-Werewolf-despliega-implante-PowerModul-en-ataques-ciberneticos-dirigidos-en.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>El actor de amenaza conocido como <strong>Lobo de papel<\/strong> ha sido observado exclusivamente dirigido a entidades rusas con un nuevo implante llamado <b>Powermodul<\/b>.<\/p>\n<p>La actividad, que tuvo lugar entre julio y diciembre de 2024, destac\u00f3 a las organizaciones en los medios de comunicaci\u00f3n, las telecomunicaciones, la construcci\u00f3n, las entidades gubernamentales y los sectores de energ\u00eda, Kaspersky <a rel=\"noopener nofollow\" href=\"https:\/\/securelist.com\/goffee-apt-new-attacks\/116139\/\" target=\"_blank\">dicho<\/a> En un nuevo informe publicado el jueves.<\/p>\n<p>Se eval\u00faa que el papel Werewolf, tambi\u00e9n conocido como Goffee, realiz\u00f3 al menos siete campa\u00f1as desde 2022, seg\u00fan Bi.Zone, con los ataques dirigidos principalmente al gobierno, la energ\u00eda, la energ\u00eda financiera, los medios y otras organizaciones.<\/p>\n<p>Tambi\u00e9n se ha observado que las cadenas de ataque montadas por el actor de la amenaza incorporan un componente disruptivo, en el que las intrusiones van m\u00e1s all\u00e1 de la distribuci\u00f3n de malware con fines de espionaje para cambiar tambi\u00e9n las contrase\u00f1as pertenecientes a las cuentas de los empleados.<\/p>\n<p>Los ataques en s\u00ed se inician a trav\u00e9s de correos electr\u00f3nicos de phishing que contienen un documento de se\u00f1uelo macro, que, al abrir y habilitar macros, allana el camino para el despliegue de un troyano de acceso remoto basado en PowerShell conocido como PowerRAT.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/drata-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Outlaw-Group-utiliza-SSH-Brute-Force-para-implementar-malware-criptojacking-en.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El malware est\u00e1 dise\u00f1ado para entregar una carga \u00fatil de la pr\u00f3xima etapa, a menudo una versi\u00f3n personalizada del agente del marco m\u00edtico conocido como <a rel=\"noopener nofollow\" href=\"https:\/\/securelist.com\/apt-trends-report-q2-2024\/113275\/\" target=\"_blank\">PowerTaskel<\/a> y <a rel=\"noopener nofollow\" href=\"https:\/\/habr.com\/ru\/companies\/F6\/articles\/847884\/\" target=\"_blank\">Qwakmyagent<\/a>. Otra herramienta en el Arsenal del actor de amenaza es un m\u00f3dulo IIS malicioso llamado OWOWA, que se utiliza para recuperar las credenciales de Microsoft Outlook ingresadas por los usuarios en el cliente web.<\/p>\n<p>El \u00faltimo conjunto de ataques documentados por Kaspersky comienza con un archivo adjunto de archivo de rar malicioso que contiene un ejecutable que se disfraza de un PDF o un documento de Word usando una doble extensi\u00f3n (es decir, *.pdf.exe o *.doc.exe). Cuando se inicia el ejecutable, el archivo decoy se descarga desde un servidor remoto y se muestra al usuario, mientras que la infecci\u00f3n contin\u00faa a la siguiente etapa en segundo plano.<\/p>\n<p>&#8220;El archivo en s\u00ed es un archivo del sistema de Windows (explorer.exe o xpsrchvw.exe), con parte de su c\u00f3digo parcheado con un shellcode malicioso&#8221;, dijo. &#8220;El Code Shell es similar a lo que vimos en ataques anteriores, pero adem\u00e1s contiene un agente m\u00edtico ofuscado, que inmediatamente comienza a comunicarse con el servidor de comando y control (C2)&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Paper-Werewolf-despliega-implante-PowerModul-en-ataques-ciberneticos-dirigidos-en.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Paper-Werewolf-despliega-implante-PowerModul-en-ataques-ciberneticos-dirigidos-en.png\" alt=\"Paper Werewolf despliega PowerModul Implant\" border=\"0\" data-original-height=\"1248\" data-original-width=\"1753\" title=\"Paper Werewolf despliega PowerModul Implant\"\/><\/a><\/div>\n<p>La secuencia de ataque alternativa es mucho m\u00e1s elaborada, utilizando un archivo de RAR que incrusta un documento de Microsoft Office con una macro que act\u00faa como un gotero para implementar y lanzar PowerModul, un script de PowerShell capaz de recibir y ejecutar scripts de PowerShell adicionales del servidor C2.<\/p>\n<p>Se dice que la puerta trasera se utiliz\u00f3 desde el comienzo de 2024, con los actores de amenaza inicialmente que lo usan para descargar y ejecutar PowerTaskel en hosts comprometidos. Algunas de las otras cargas \u00fatiles que caen por PowerModul se enumeran a continuaci\u00f3n &#8211;<\/p>\n<ul>\n<li><strong>Flashfilegrabber<\/strong>que se utiliza para robar archivos de medios extra\u00edbles, como unidades flash, y exfiltrarlos al servidor C2<\/li>\n<li><strong>FlashFilegrabBeroffline<\/strong>una variante de FlashFilegrabber que busca medios extra\u00edbles para archivos con extensiones espec\u00edficas, y cuando se encuentra, copia el disco local dentro de la carpeta &#8220;%Temp% Cachestore  Connect &#8220;<\/li>\n<li><strong>Gusano usb<\/strong>que es capaz de infectar medios extra\u00edbles con una copia de PowerModul<\/li>\n<\/ul>\n<p>PowerTaskel es funcionalmente similar a PowerModul en el sentido de que tambi\u00e9n est\u00e1 dise\u00f1ado para ejecutar scripts de PowerShell enviados por el servidor C2. Pero adem\u00e1s, puede enviar informaci\u00f3n sobre el entorno objetivo en forma de un mensaje de &#8220;verificar&#8221;, as\u00ed como ejecutar otros comandos recibidos del servidor C2 como tareas. Tambi\u00e9n est\u00e1 equipado para aumentar los privilegios utilizando la utilidad PSEXEC.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zscaler-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/1743488507_401_Apple-multo-a-150-millones-de-euros-por-el-regulador.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>En al menos un caso, se ha descubierto que PowerTaskel recibe un script con un componente de carpetas de FileGrabber que, adem\u00e1s de replicar las caracter\u00edsticas de FlashFileGrabber, incluye la capacidad de recopilar archivos de sistemas remotos a trav\u00e9s de una ruta de red hardada utilizando el protocolo SMB.<\/p>\n<p>&#8220;Por primera vez, emplearon documentos de palabras con guiones VBA maliciosos para infecci\u00f3n inicial&#8221;, dijo Kaspersky. &#8220;Recientemente, hemos observado que Goffee est\u00e1 abandonando cada vez m\u00e1s el uso de PowerTaskel a favor del agente m\u00edtico binario durante el movimiento lateral&#8221;.<\/p>\n<p>El desarrollo se produce como bi.zone <a rel=\"noopener nofollow\" href=\"https:\/\/bi.zone\/eng\/expertise\/blog\/kamen-ogranennyy-sapphire-werewolf-ispolzuet-novuyu-versiyu-amethyst-stealer-dlya-atak-na-tek\/\" target=\"_blank\">atribuido<\/a> Otro grupo de amenazas llam\u00f3 a Sapphire Werewolf a una campa\u00f1a de phishing que distribuye una versi\u00f3n actualizada del robador de amatistas de c\u00f3digo abierto.<\/p>\n<p>El Stealer recupera &#8220;credenciales de Telegram y varios navegadores, incluidos Chrome, Opera, Yandex, Brave, Orbitum, Atom, Kometa y Edge Chromium, as\u00ed como archivos de configuraci\u00f3n de Filezilla y SSH&#8221;, dijo la compa\u00f1\u00eda rusa, y agreg\u00f3 que tambi\u00e9n puede obtener documentos, incluidos los almacenados en medios removibles.<\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/paper-werewolf-deploys-powermodul.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El actor de amenaza conocido como Lobo de papel ha sido observado exclusivamente dirigido a entidades rusas con<\/p>\n","protected":false},"author":1,"featured_media":1665346,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2346,4661,6634,4664,16896,34682,84006,273784,273783,4654,273782,4659,4653,4655,22459,295386,690,37406,246983,4665,246984,455,239484,112217],"class_list":["post-1665345","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-ciberneticos","tag-como-hackear","tag-despliega","tag-dirigidos","tag-implante","tag-las-noticias-del-hacker","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-paper","tag-powermodul","tag-rusos","tag-sectores","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-violacion","tag-vulnerabilidad-del-software","tag-werewolf"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1665345","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1665345"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1665345\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1665346"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1665345"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1665345"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1665345"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}