Desde 2022, al menos siete campañas de ciberespionaje han sido atribuidas al grupo Paper Werewolf (también conocido como GOFFEE), conocido por explotar documentos de Microsoft Word infectados como herramienta principal para comprometer sistemas, robar credenciales y realizar espionaje. Este grupo ha intensificado su actividad en 2024, apuntando principalmente a organizaciones gubernamentales, energéticas, financieras y mediáticas.
Un informe técnico reciente detalla que, tras cumplir con sus objetivos de espionaje, los atacantes suelen sabotear las infraestructuras comprometidas. Esto incluye cambios de contraseñas de empleados, lo que obstaculiza operaciones internas. Este patrón, aunque más característico de hacktivistas o grupos motivados financieramente, también ha sido utilizado por Paper Werewolf, subrayando la sofisticación de sus tácticas. En 2024, los ataques de espionaje representaron el 21% de los incidentes cibernéticos contra empresas rusas, un incremento significativo comparado con el 15% registrado en 2023.
El modus operandi de este grupo incluye correos electrónicos de phishing que contienen documentos de Word cifrados. Una vez abiertos, los documentos solicitan al usuario habilitar macros para acceder al contenido. Si el usuario lo hace, el documento instala un programa malicioso en el dispositivo, comprometiendo su seguridad. En muchos casos, los atacantes emplean PowerRAT, un troyano de acceso remoto diseñado para ejecutar comandos y realizar exploraciones en el sistema objetivo. También se utilizan herramientas avanzadas para capturar credenciales durante la autorización de usuarios en servicios como Outlook Web Access, dificultando la detección por parte de las defensas corporativas.
La amenaza es particularmente relevante debido a su capacidad no solo de extraer información sensible, sino también de alterar la funcionalidad operativa de los sistemas comprometidos. Este tipo de sabotaje puede generar consecuencias graves, tanto en términos económicos como estratégicos, para las organizaciones afectadas.
Cómo Protegerse
Para mitigar los riesgos asociados con estas amenazas, es fundamental adoptar prácticas básicas de ciberseguridad. Esto incluye evitar la apertura de documentos no solicitados, no habilitar macros sin una verificación adecuada, y utilizar herramientas de inteligencia de amenazas para anticipar las tácticas de los atacantes. Además, las organizaciones deben formar a su personal para reconocer correos electrónicos de phishing y otras técnicas de ingeniería social utilizadas por estos actores maliciosos.
Reflexión y Recomendaciones
Los ataques cibernéticos atribuidos a grupos respaldados por estados-nación, como Paper Werewolf, reflejan un panorama de amenazas en constante evolución. En respuesta, las organizaciones deben priorizar la actualización de sus medidas de seguridad, así como invertir en soluciones que permitan identificar y detener actividades maliciosas antes de que estas puedan causar daños significativos. El fortalecimiento de la ciberseguridad no solo es crucial para proteger la información sensible, sino también para garantizar la resiliencia operativa frente a un entorno cada vez más complejo y hostil.
