کسپرسکی در گزارش جدیدی گفت: این فعالیت بین جولای و دسامبر 2024 علیه سازمانهایی در بخش انرژی، رسانههای جمعی، مخابرات، ساختوساز، نهادهای دولتی انجام شده است. بر اساس آنچه که BI.ZONE گفت: Paper Werewolf که با نام GOFFEE نیز شناخته میشود، حداقل هفت کمپین را از سال 2022 با تمرکز بر سازمانهای دولتی انرژی، مالی، رسانهها انجام داده است. زنجیرههای حمله نصب شده توسط عامل تهدید نیز دارای یک مؤلفه مخرب هستند که در آن نفوذها فراتر از توزیع بدافزار برای اهداف جاسوسی است و رمزهای عبور متعلق به حسابهای کارمندان را نیز تغییر میدهد.
حملات از طریق ایمیلهای فیشینگ که حاوی یک سند فریبنده ماکرو هستند آغاز میشوند، که با باز کردن و فعالسازی ماکروها راه را برای استقرار تروجان دسترسی از راه دور مبتنی بر پاورشل به نام PowerRAT هموار میکند. این بدافزار به منظور ارائه پیلود مرحله بعدی طراحی شده است، که اغلب یک نسخه سفارشی از عامل چارچوب Mythic معروف به PowerTaskel و QwakMyAgent است. از ابزار دیگر میتوان به ماژول IIS مخرب به نام Owowa اشاره کرد که جهت بازیابی اعتبارنامه Microsoft Outlook وارد شده توسط کاربران در سرویس وبکلاینت استفاده میشود.
https://thehackernews.com/2025/04/paper-werewolf-deploys-powermodul.html
https://securelist.com/goffee-apt-new-attacks/116139
