A un actor de amenazas previamente indocumentado se le han atribuido ataques dirigidos a organizaciones ucranianas con malware conocido como CANFAIL.
Google Threat Intelligence Group (GTIG) describió al grupo de hackers como posiblemente afiliado a los servicios de inteligencia rusos. Se considera que el actor de la amenaza se ha dirigido a organizaciones de defensa, militares, gubernamentales y energéticas dentro de los gobiernos regionales y nacionales de Ucrania.
Sin embargo, el grupo también ha mostrado un interés creciente en organizaciones aeroespaciales, empresas manufactureras con vínculos militares y de drones, organizaciones de investigación nuclear y química y organizaciones internacionales involucradas en el seguimiento de conflictos y la ayuda humanitaria en Ucrania, añadió GTIG.
«A pesar de ser menos sofisticado y tener menos recursos que otros grupos de amenazas rusos, este actor recientemente comenzó a superar algunas limitaciones técnicas utilizando LLM (grandes modelos de lenguaje)», dijo GTIG.
«A través de indicaciones, realizan reconocimientos, crean señuelos para la ingeniería social y buscan respuestas a preguntas técnicas básicas para la actividad posterior al compromiso y la configuración de la infraestructura C2».
En campañas de phishing recientes, el actor de amenazas se ha hecho pasar por organizaciones energéticas ucranianas nacionales y locales legítimas para obtener acceso no autorizado a cuentas de correo electrónico personales y de organizaciones.
También se dice que el grupo se hizo pasar por una empresa energética rumana que trabaja con clientes en Ucrania, además de apuntar a una empresa rumana y realizar reconocimientos sobre organizaciones moldavas.
Para permitir sus operaciones, el actor de amenazas genera listas de direcciones de correo electrónico adaptadas a regiones e industrias específicas en función de su investigación. Las cadenas de ataque aparentemente contienen señuelos generados por LLM e incorporan enlaces de Google Drive que apuntan a un archivo RAR que contiene malware CANFAIL.
Normalmente disfrazado con una doble extensión para hacerse pasar por un documento PDF (*.pdf.js), CANFAIL es un malware de JavaScript ofuscado que está diseñado para ejecutar un script de PowerShell que, a su vez, descarga y ejecuta un cuentagotas de PowerShell de solo memoria. Paralelamente, muestra un mensaje de «error» falso a la víctima.
Google dijo que el actor de amenazas también está vinculado a una campaña llamada PhantomCaptcha que SentinelOne SentinelLABS reveló en octubre de 2025 como dirigida a organizaciones asociadas con los esfuerzos de ayuda en la guerra de Ucrania a través de correos electrónicos de phishing que dirigen a los destinatarios a páginas falsas que albergan instrucciones estilo ClickFix para activar la secuencia de infección y entregar un troyano basado en WebSocket.