O Google revelou que um grupo hacker até então não documentado está por trás de ataques contra organizações ucranianas utilizando o malware CANFAIL. De acordo com o Google Threat Intelligence Group (GTIG), há indícios de que o ator esteja ligado a serviços de inteligência da Rússia.

Os alvos incluem entidades de defesa, forças militares, órgãos governamentais e empresas do setor de energia em níveis regional e nacional na Ucrânia. Além disso, o grupo demonstrou interesse crescente em organizações do setor aeroespacial, fabricantes ligados à indústria militar e de drones, instituições de pesquisa nuclear e química, além de entidades internacionais envolvidas em monitoramento de conflitos e ajuda humanitária.

Segundo a análise divulgada, embora o grupo seja menos sofisticado do que outros atores russos conhecidos, recentemente passou a utilizar modelos de linguagem (LLMs) para superar limitações técnicas.

O grupo estaria empregando inteligência artificial para realizar reconhecimento, elaborar iscas de engenharia social e obter respostas técnicas sobre atividades pós-comprometimento e infraestrutura de comando e controle (C2).

Campanhas recentes envolveram a personificação de empresas legítimas do setor de energia na Ucrânia para obter acesso não autorizado a contas de e-mail corporativas e pessoais. Em alguns casos, os hackers se passaram por uma empresa romena de energia com atuação na Ucrânia, além de conduzirem reconhecimento contra organizações na Moldávia.

Para aumentar a eficácia das campanhas, os invasores geram listas de e-mails segmentadas por região e setor econômico com base em pesquisas prévias.

Como funciona o malware CANFAIL

As cadeias de ataque geralmente incluem iscas geradas por LLMs e links do Google Drive que levam a um arquivo RAR contendo o malware.

O CANFAIL é um malware em JavaScript ofuscado, frequentemente disfarçado com dupla extensão para simular um arquivo PDF (*.pdf.js). Após a execução, ele:

1. Dispara um script PowerShell.

2. Baixa um dropper PowerShell executado apenas em memória.

3. Exibe uma falsa mensagem de erro para enganar a vítima.

Esse método dificulta a detecção por soluções tradicionais de segurança, especialmente por utilizar execução em memória.

O Google também relacionou o grupo à campanha PhantomCaptcha, previamente divulgada por pesquisadores da SentinelLABS. Essa operação utilizava e-mails de phishing direcionando vítimas a páginas falsas com instruções no estilo ClickFix para ativar a sequência de infecção.

O objetivo final era implantar um trojan baseado em WebSocket, voltado para controle remoto e espionagem.

Os ataques reforçam a intensificação da guerra cibernética associada ao conflito na Ucrânia. O uso de IA para criar campanhas mais convincentes indica uma evolução tática, mesmo por grupos considerados menos estruturados.

A combinação de phishing segmentado, execução em memória e uso de serviços legítimos como Google Drive demonstra como campanhas modernas exploram tanto engenharia social quanto técnicas de evasão.