Fałszywe zaproszenia na „koncert noworoczny” w kampanii Paper Werewolf (GOFFEE): jak działa backdoor EchoGather i dlaczego XLL to problem - Security Bez Tabu

Fałszywe zaproszenia na „koncert noworoczny” w kampanii Paper Werewolf (GOFFEE): jak działa backdoor EchoGather i dlaczego XLL to problem

Wprowadzenie do problemu / definicja luki

Spear-phishing nadal wygrywa w atakach ukierunkowanych, bo omija „twarde” zabezpieczenia przez… człowieka. W opisywanej kampanii przynęta była wyjątkowo prozaiczna: fałszywe zaproszenie na koncert noworoczny skierowane do rosyjskojęzycznych odbiorców (m.in. środowisk wojskowych i sektora obronnego). Kluczowe jest jednak nie samo „zaproszenie”, lecz nośnik wykonania kodu: plik Excel XLL.

XLL to w praktyce biblioteka DLL ładowana przez Excela jako dodatek. W przeciwieństwie do makr VBA, XLL działa jako kod natywny ładowany do procesu Excela, co może utrudniać kontrolę politykami „anti-macro” i detekcję opartą o typowe heurystyki makr.

W skrócie

  • Badacze powiązali kampanię z grupą Paper Werewolf (GOFFEE) i nowym backdoorem EchoGather.
  • Wejście obejmowało złośliwy plik XLL (dodatek Excela) oraz alternatywne łańcuchy z WinRAR i plikami LNK/PowerShell.
  • EchoGather zbiera dane o hoście, beaconuje do C2 ukrytego pod ścieżkami wyglądającymi jak serwis dostaw jedzenia i wspiera m.in. zdalne komendy oraz eksfiltrację plików.
  • Intezer wskazuje również element „AI tradecraft”: przynęty PDF wyglądały na generowane AI i zawierały błędy językowe oraz zniekształcony symbol (imitacja godła).
  • Reuters podkreśla szerszy trend: łatwo dostępne narzędzia AI obniżają próg wejścia dla tworzenia wiarygodnych (lub „prawie wiarygodnych”) dokumentów-wabików.

Kontekst / historia / powiązania

GOFFEE (znany też jako Paper Werewolf) to aktor obserwowany co najmniej od 2022 r., ukierunkowany na podmioty w Federacji Rosyjskiej. Kaspersky opisywał jego kampanie z użyciem m.in. złośliwych załączników phishingowych i zmian w narzędziach na przestrzeni lat (np. wcześniejsze komponenty typu Owowa oraz późniejsze schematy dystrybucji).

W 2024 r. (wg Kaspersky) grupa wprowadzała nowe implanty i odchodziła od wcześniejszych komponentów na rzecz innych technik w ekosystemie ataku. Taki „ciągły ruch” w TTP jest typowy dla zespołów, które:

  • mają jeden geograficzny/branżowy fokus,
  • testują nowe metody wejścia (np. inne formaty plików),
  • próbują ominąć zmiany w zabezpieczeniach endpointów i poczty.

Na tym tle XLL jako nośnik wygląda jak logiczny krok: organizacje często zaostrzają polityki makr, ale dodatki DLL-owe wciąż bywają gorzej „obudowane” kontrolami.

Analiza techniczna / szczegóły luki

1) Wejście: XLL jako dodatek Excela

W kampanii opisanej przez Intezer próbki XLL trafiły m.in. do VirusTotal w końcówce października 2025 r.
XLL to DLL ładowany przez Excel, zwykle z eksportami typu xlAutoOpen, ale tu ciekawostka: logika nie była klasycznie „przywiązana” do standardowego xlAutoOpen. Intezer opisuje uruchomienie poprzez zachowanie w DllMain i opóźnienie wykonania do zdarzenia związanego z zakończeniem wątku (DLL_THREAD_DETACH), co może utrudniać detekcję sandboxom i mechanizmom analizującym „early execution”.

2) Loader → dropper → uruchomienie payloadu

Intezer wskazuje, że loader zrzuca plik jako mswp.exe w ścieżce %APPDATA%\Microsoft\Windows, a następnie uruchamia go w trybie ukrytym (CREATE_NO_WINDOW) i przechwytuje stdout/stderr przez pipe’y.

3) EchoGather: co robi backdoor

EchoGather (64-bit) ma twardo zaszytą konfigurację i łączy się z C2 przez HTTP(S) z użyciem WinHTTP. Zbiera m.in. adresy IPv4, nazwę hosta (NetBIOS), użytkownika, domenę stacji, PID i ścieżkę binarki; dane koduje Base64 i wysyła w pętli z losowym opóźnieniem rzędu kilku minut.

C2/„maskowanie ruchem”: w analizowanej próbce adres C2 był zbudowany tak, by ścieżka wyglądała jak elementy serwisu dostaw (np. „dostavka/…/sushi/…/msk/…”). To dokładnie ten typ kamuflażu, który potrafi „zginąć” w proxy logach, jeśli organizacja nie ma dobrego profilowania ruchu wychodzącego.

Komendy: Intezer opisuje cztery kategorie poleceń, w tym:

  • zdalne wykonanie komend (uruchamiane przez cmd.exe /C …),
  • zwrot konfiguracji,
  • eksfiltrację plików porcjowaną w chunki,
  • zdalny zapis pliku na maszynie ofiary.

4) Przynęty (decoy) i wątek „AI-generated”

W infrastrukturze powiązanej z kampanią znaleziono skrypty PowerShell dekodujące dwie „porcje” Base64: PDF-wabik i payload EchoGather. PDF był opisany jako zaproszenie na koncert dla „wysokich rangą” oficerów, ale zawierał znamiona sztucznej generacji: błędy literowe w cyrylicy, literówki oraz nieudolną imitację godła (dwugłowego orła).

Reuters zwraca uwagę, że to dobry przykład, jak dostępne narzędzia AI mogą pomagać w skalowaniu tworzenia dokumentów-wabików (nawet jeśli nadal da się je czasem „wyczuć” po jakości).

5) Alternatywny łańcuch: WinRAR i CVE-2025-8088

Intezer opisuje też pivot na domenę, który doprowadził do archiwum RAR wykorzystującego podatność oznaczoną jako CVE-2025-8088: nadużycie NTFS ADS + path traversal, pozwalające na zapis w nieoczekiwanych lokalizacjach (np. elementy Startup). W łańcuchu pojawiają się m.in. pliki LNK uruchamiające BAT i finalnie PowerShell pobierający skrypt z serwera zewnętrznego, który znów wypakowuje PDF + EchoGather.

Praktyczne konsekwencje / ryzyko

Dla organizacji kluczowe ryzyka są trzy:

  1. Ciche rozpoznanie + wyciek danych: EchoGather jest nastawiony na rekonesans i transfer plików, czyli klasyczny profil cyber-szpiegowski.
  2. Elastyczność operacyjna atakującego: zdalne komendy i zdalny zapis plików to „pomost” do dalszej eskalacji, doinstalowania narzędzi, ruchu bocznego i dłuższej obecności w sieci.
  3. Ryzyko łańcucha dostaw/produkcji (w sektorach obronnych i high-tech): Reuters wskazuje, że cele sugerują zainteresowanie wglądem w produkcję, łańcuch dostaw i R&D.

Nawet jeśli Twoja organizacja nie jest w „docelowej geografii”, ten case jest ważny, bo pokazuje dwa trendy, które łatwo przenoszą się na inne kampanie: XLL jako nośnik i „AI-wabiki”.

Rekomendacje operacyjne / co zrobić teraz

Szybkie działania (24–72h)

  • Zablokuj/ogranicz przyjmowanie XLL w poczcie (gateway) i w systemach wymiany plików; dodaj kontrolę również dla archiwów RAR zawierających LNK/BAT/PS1.
  • Hunt na endpointach:
    • Excel uruchamia nietypowe procesy potomne (np. mswp.exe, cmd.exe, powershell.exe) i to jeszcze z lokalizacji użytkownika/AppData,
    • obecność mswp.exe w %APPDATA%\Microsoft\Windows,
    • ruch wychodzący HTTP(S) do domen/ścieżek wyglądających „dziwnie tematycznie” (np. „dostavka/…/sushi/…”) oraz beaconing co ~5–6 minut.
  • Aktualizacje/patching: jeśli w środowisku jest WinRAR, zweryfikuj wersje i podatności oraz wprowadź zasadę „RAR-y tylko z zaufanych źródeł” (to często realniejszy kontrolny punkt niż próba edukowania o każdej CVE).

Utwardzenie (1–4 tygodnie)

  • ASR/EDR hardening: reguły blokujące procesy potomne Office, uruchamianie skryptów z katalogów użytkownika, oraz egzekwowanie podpisu dla wybranych typów wykonywalnych (tam, gdzie to realne operacyjnie).
  • Allowlisting (AppLocker/WDAC): ogranicz wykonywanie binarek z %APPDATA%, %TEMP% i podobnych lokalizacji użytkownika, jeżeli profil biznesowy na to pozwala.
  • Kontrola dodatków Office: polityki ograniczające ładowanie dodatków/plików wykonywalnych jako add-in oraz „mark-of-the-web”/strefy internetowe w łańcuchu dostarczania (w praktyce: sklejone z politykami przeglądarki, poczty i EDR).
  • Higiena poczty: edukacja i procedury weryfikacji załączników (adres nadawcy, oczekiwany kontekst biznesowy, potwierdzenie kanałem alternatywnym). CERT Polska dobrze opisuje praktyczne zasady obchodzenia się z podejrzanymi załącznikami.

Różnice / porównania z innymi przypadkami

Makra VBA vs XLL: makra to kod skryptowy uruchamiany w ramach silnika makr i coraz częściej blokowany politykami (np. „block macros from the internet”). XLL to natywny DLL ładowany do procesu Excela (LoadLibrary), co daje atakującemu większą swobodę i bywa trudniejsze do objęcia tymi samymi kontrolami co makra.

Ewolucja GOFFEE: Kaspersky opisywał wcześniejsze schematy dystrybucji GOFFEE oparte o phishing i różne implanty. Kampania EchoGather pokazuje „eksperymentowanie” z nowym wektorem (XLL) przy utrzymaniu starej, sprawdzonej logiki: decoy document jako zasłona dymna + uruchomienie payloadu w tle.

Podsumowanie / kluczowe wnioski

  • Ta kampania to nie tylko „phishing z PDF-em”, ale przede wszystkim praktyczny przykład przejścia na XLL jako nośnik uruchomienia kodu w środowiskach, gdzie makra są już mocno utrudnione.
  • EchoGather ma funkcjonalności typowe dla implantów szpiegowskich (rekonesans, komendy, transfer plików) i komunikuje się z C2 w sposób, który może wyglądać „normalnie” w logach bez dobrej telemetrii i profilowania ruchu.
  • Wabiki generowane (lub wspomagane) przez AI będą się pojawiać coraz częściej — nie dlatego, że są idealne, tylko dlatego, że są tanie i szybkie w produkcji.

Jeśli chcesz, mogę też przygotować krótką „sekcję SOC” do wklejenia w runbook: gotowe hipotezy huntingowe, pola do sprawdzenia w EDR/SIEM i listę priorytetowych alertów pod ten łańcuch.

Źródła / bibliografia

  1. Intezer – Tracing a Paper Werewolf campaign through AI-generated decoys and Excel XLLs (Intezer)
  2. The Record (Recorded Future News) – Cyber spies use fake New Year concert invites to target Russian military (The Record from Recorded Future)
  3. Kaspersky Securelist – GOFFEE’s recent attacks: new tools and techniques (Securelist)
  4. Reuters – Russian defense firms targeted by hackers using AI, other tactics (Reuters)
  5. CERT Polska – Uważaj na fałszywe załączniki! (cert.pl)