Un actor de amenazas previamente no documentado ha sido atribuido a ataques dirigidos a organizaciones ucranianas con el malware conocido como CANFAIL.
Google Threat Intelligence Group (GTIG) describió al grupo de hackers como posiblemente afiliado a los servicios de inteligencia rusos. Según la evaluación, el actor ha atacado organizaciones de defensa, militares, gubernamentales y energéticas dentro de los gobiernos regional y nacional de Ucrania.
Sin embargo, GTIG agregó que el grupo también ha mostrado un creciente interés en organizaciones aeroespaciales, empresas manufactureras con vínculos militares y de drones, organizaciones de investigación nuclear y química, así como en organizaciones internacionales involucradas en el monitoreo de conflictos y la ayuda humanitaria en Ucrania.
"Aunque es menos sofisticado y tiene menos recursos que otros grupos de amenazas rusos, este actor recientemente comenzó a superar algunas limitaciones técnicas utilizando LLM [modelos de lenguaje grandes]", dijo GTIG.
"Mediante indicaciones, realizan reconocimiento, crean señuelos para ingeniería social y buscan respuestas a preguntas técnicas básicas para actividades posteriores al compromiso y configuración de infraestructura de comando y control".
Las campañas de phishing recientes han involucrado al actor de amenazas haciéndose pasar por organizaciones energéticas nacionales y locales legítimas de Ucrania para obtener acceso no autorizado a cuentas de correo electrónico organizacionales y personales.
También se dice que el grupo se ha hecho pasar por una empresa energética rumana que trabaja con clientes en Ucrania, además de atacar a una empresa rumana y realizar reconocimiento sobre organizaciones moldavas.
Para habilitar sus operaciones, el actor de amenazas genera listas de direcciones de correo electrónico adaptadas a regiones e industrias específicas basándose en su investigación. Las cadenas de ataque aparentemente contienen señuelos generados por LLM e incrustan enlaces de Google Drive que apuntan a un archivo RAR que contiene el malware CANFAIL.
Generalmente disfrazado con una doble extensión para hacerse pasar por un documento PDF (*.pdf.js), CANFAIL es un malware JavaScript ofuscado diseñado para ejecutar un script de PowerShell que, a su vez, descarga y ejecuta un dropper de PowerShell solo en memoria. En paralelo, muestra un mensaje de "error" falso a la víctima.
Google dijo que el actor de amenazas también está vinculado a una campaña llamada PhantomCapta, que fue revelada por SentinelOne SentinelLABS en octubre de 2025 como dirigida a organizaciones asociadas con los esfuerzos de ayuda humanitaria en Ucrania, mediante correos electrónicos de phishing que dirigen a los destinatarios a páginas falsas que alojan instrucciones de estilo ClickFix para activar la secuencia de infección y entregar un troyano basado en WebSocket.
