O grupo hacker conhecido como Paper Werewolf (também chamado de GOFFEE) está conduzindo ataques cibernéticos direcionados exclusivamente a organizações russas, utilizando um novo implante chamado PowerModul. Entre julho e dezembro de 2024, setores como mídia, telecomunicações, construção civil, órgãos governamentais e energia foram os principais alvos, conforme relatório recente da Kaspersky. Desde 2022, o grupo já teria realizado pelo menos sete campanhas, segundo a BI.ZONE.

Os ataques começam com e-mails de phishing contendo documentos com macros maliciosas. Ao serem abertos, esses documentos acionam o PowerRAT, um trojan de acesso remoto baseado em PowerShell, que facilita o download de cargas adicionais, como os agentes PowerTaskel e QwakMyAgent, variantes personalizadas do framework Mythic. Os hackers também utilizam o módulo malicioso Owowa para capturar credenciais do Outlook. Outro método observado envolve anexos RAR com arquivos executáveis que se disfarçam de PDFs ou documentos do Word. Ao serem executados, mostram um arquivo isca enquanto o malware é instalado em segundo plano.

O PowerModul funciona como backdoor, permitindo o recebimento e execução de scripts PowerShell adicionais. Ele também é usado para distribuir outras ferramentas, como FlashFileGrabber, que rouba arquivos de mídias removíveis, e USB Worm, capaz de se espalhar por dispositivos USB. O PowerTaskel, por sua vez, envia informações do sistema atacado e executa comandos do servidor de controle. Recentemente, o grupo tem substituído o PowerTaskel pelo agente Mythic para movimentações laterais na rede. Paralelamente, outro grupo, o Sapphire Werewolf, está sendo associado a campanhas de phishing com o stealer Amethyst, que rouba credenciais e arquivos de navegadores e mídias removíveis.