Nowe zagrożenie związane z cyberatakami na Ukrainę: grupa CANFAIL

Nowa, wcześniej nieudokumentowana grupa hakerska została przypisana do ataków na ukraińskie organizacje, wykorzystując złośliwe oprogramowanie znane jako CANFAIL. Grupa analityków z Google Threat Intelligence Group (GTIG) oceniła, że aktorzy ci mogą być powiązani z rosyjskimi służbami wywiadowczymi.

Celem ataków są instytucje obronne, wojskowe, państwowe oraz organizacje związane z energetyką w rządzie ukraińskim, zarówno na poziomie lokalnym, jak i krajowym. GTIG zwraca uwagę, że grupa wykazuje coraz większe zainteresowanie także organizacjami z sektora lotniczego, firmami zajmującymi się produkcją sprzętu wojskowego i dronów, a także instytucjami badającymi technologie jądrowe i chemiczne oraz organizacjami międzynarodowymi działającymi na rzecz monitorowania konfliktu i pomocy humanitarnej w Ukrainie.

Charakterystyka działań grupy CANFAIL

Mimo że grupa jest oceniana jako mniej zaawansowana i zasobna niż inne rosyjskie grupy zagrożeń, w ostatnim czasie zaczęła pokonywać pewne ograniczenia techniczne, wykorzystując tzw. LLM (duże modele językowe). Jak zauważa GTIG, wykorzystują one te technologie do przeprowadzania rekonesansu, tworzenia pułapek w atakach socjotechnicznych oraz poszukiwania odpowiedzi na podstawowe pytania techniczne, które wspierają ich działania po przejęciu kontroli nad systemem.

Ostatnie kampanie phishingowe polegały na podszywaniu się pod legalne krajowe i lokalne organizacje energetyczne, co pozwoliło na nieautoryzowany dostęp do skrzynek mailowych zarówno instytucji, jak i osób prywatnych. Grupa udawała także rumuńską firmę energetyczną współpracującą z klientami w Ukrainie, a w dodatku prowadziła rekonesans na temat organizacji w Mołdawii.

Metody działania i skutki ataków

Aby umożliwić swoje operacje, grupa generuje listy adresów e-mail, dostosowane do konkretnych regionów i branż na podstawie przeprowadzonych badań. Łańcuchy ataków zazwyczaj zawierają pułapki stworzone przy użyciu LLM oraz łącza do Google Drive, prowadzące do archiwum RAR, które zawiera złośliwe oprogramowanie CANFAIL.

W większości przypadków CANFAIL jest maskowane podwójnym rozszerzeniem, co pozwala na podszywanie się pod dokument PDF (*.pdf.js). To obfuskowane złośliwe oprogramowanie JavaScript jest zaprojektowane do uruchamiania skryptu PowerShell, który z kolei pobiera i wykonuje jednorazowy „dropper” PowerShell w pamięci. Jednocześnie wyświetla fałszywy komunikat o „błędzie” ofierze.

„Grupa jest również powiązana z kampanią nazwaną PhantomCaptcha, która została ujawniona przez SentinelOne SentinelLABS w październiku 2025 roku. Kampania ta celowała w organizacje związane z pomocą humanitarną w Ukrainie poprzez wiadomości phishingowe prowadzące do fałszywych stron, na których znajdowały się instrukcje w stylu ClickFix, mające na celu uruchomienie sekwencji infekcji i dostarczenie trojana opartego na WebSocketach.”