A un actor de amenazas previamente indocumentado se le han atribuido ataques dirigidos a organizaciones ucranianas con malware conocido como CANFAIL.
Google Threat Intelligence Group (GTIG) describió al rama de hackers como posiblemente afiliado a los servicios de inteligencia rusos. Se considera que el actor de la amenaza se ha dirigido a organizaciones de defensa, militares, gubernamentales y energéticas en el interior de los gobiernos regionales y nacionales de Ucrania.
Sin secuestro, el rama todavía ha mostrado un interés creciente en organizaciones aeroespaciales, empresas manufactureras con vínculos militares y de drones, organizaciones de investigación nuclear y química y organizaciones internacionales involucradas en el seguimiento de conflictos y la ayuda humanitaria en Ucrania, añadió GTIG.
“A pesar de ser menos sofisticado y tener menos medios que otros grupos de amenazas rusos, este actor recientemente comenzó a pasar algunas limitaciones técnicas utilizando LLM (grandes modelos de lengua)”, dijo GTIG.
“A través de indicaciones, realizan reconocimientos, crean señuelos para la ingeniería social y buscan respuestas a preguntas técnicas básicas para la actividad posterior al compromiso y la configuración de la infraestructura C2”.
En recientes campañas de phishing, el actor de amenazas se ha hecho tener lugar por organizaciones energéticas ucranianas nacionales y locales legítimas para obtener llegada no calificado a cuentas de correo electrónico personales y de organizaciones.
Asimismo se dice que el rama se hizo tener lugar por una empresa energética rumana que trabaja con clientes en Ucrania, adicionalmente de apuntar a una empresa rumana y realizar reconocimientos sobre organizaciones moldavas.
Para permitir sus operaciones, el actor de amenazas genera listas de direcciones de correo electrónico adaptadas a regiones e industrias específicas en función de su investigación. Las cadenas de ataque aparentemente contienen señuelos generados por LLM e incorporan enlaces de Google Drive que apuntan a un archivo RAR que contiene malware CANFAIL.
Normalmente disfrazado con una doble extensión para hacerse tener lugar por un documento PDF (*.pdf.js), CANFAIL es un malware de JavaScript ofuscado que está diseñado para ejecutar un script de PowerShell que, a su vez, descarga y ejecuta un cuentagotas de PowerShell de solo memoria. Paralelamente, muestra un mensaje ficticio de “error” a la víctima.
Google dijo que el actor de amenazas todavía está vinculado a una campaña indicación PhantomCaptcha que SentinelOne SentinelLABS reveló en octubre de 2025 como dirigida a organizaciones asociadas con los esfuerzos de ayuda en la conflicto de Ucrania a través de correos electrónicos de phishing que dirigen a los destinatarios a páginas falsas que albergan instrucciones estilo ClickFix para activar la secuencia de infección y entregar un troyano basado en WebSocket.
