Se cree que un atacante previamente indocumentado se dirigió a organizaciones en Ucrania utilizando un malware conocido como CANFAIL.
El Google Threat Intelligence Group (GTIG) dijo que el grupo de hackers puede tener vínculos con los servicios de inteligencia rusos. Se considera que el atacante tiene como objetivo organizaciones de defensa, militares, gubernamentales y energéticas dentro de los gobiernos locales y centrales de Ucrania.
Sin embargo, GTIG añadió que el grupo también está cada vez más interesado en agencias aeroespaciales, empresas militares y de fabricación de drones, institutos de investigación nuclear y química y organizaciones internacionales involucradas en el seguimiento de conflictos y la asistencia humanitaria en Ucrania.
«A pesar de su menor sofisticación y recursos en comparación con otros grupos de amenazas rusos, este actor ha comenzado recientemente a utilizar LLM (modelos de lenguaje a gran escala) para superar algunas limitaciones técnicas», dijo GTIG.
«A través de indicaciones, realizan reconocimientos, crean señuelos de ingeniería social y buscan respuestas a preguntas técnicas básicas sobre las actividades posteriores al compromiso y la configuración de la infraestructura C2».
En campañas de phishing recientes, los atacantes se han hecho pasar por organizaciones energéticas nacionales y locales legítimas de Ucrania para obtener acceso no autorizado a cuentas de correo electrónico personales y de organizaciones.
Se dice que el grupo apuntó a empresas rumanas y espió a organizaciones en Moldavia, además de hacerse pasar por una empresa energética rumana que hacía negocios con clientes en Ucrania.
Para permitir sus operaciones, los atacantes utilizan la investigación para generar listas de direcciones de correo electrónico adaptadas a regiones o industrias específicas. La cadena de ataque parece incluir un señuelo generado por LLM con un enlace integrado de Google Drive que apunta a un archivo RAR que contiene el malware CANFAIL.
CANFAIL suele ser un malware de JavaScript ofuscado, disfrazado con una doble extensión para disfrazarse de documento PDF (*.pdf.js) y diseñado para ejecutar un script de PowerShell que descarga y ejecuta un cuentagotas de PowerShell de solo memoria. Al mismo tiempo, muestra un mensaje de «error» falso a la víctima.
Según Google, este atacante también está asociado con una campaña conocida como PhantomCaptcha revelada por SentinelOne SentinelLABS en octubre de 2025 que apuntaba a organizaciones asociadas con los esfuerzos de ayuda en la guerra en Ucrania a través de correos electrónicos de phishing que dirigían a los destinatarios a una página falsa que albergaba instrucciones estilo ClickFix para activar una secuencia de infección y entregar un troyano basado en WebSocket.
Source link
