Google Threat Intelligence Group ha collegato un attore di minaccia finora poco documentato a una serie di attacchi informatici contro organizzazioni ucraine tramite il malware CANFAIL. Le analisi indicano una possibile affiliazione con servizi di intelligence russi e un focus su settori strategici come difesa, militare, governo ed energia, sia a livello regionale sia nazionale. Nel tempo il perimetro di interesse si è ampliato includendo anche aziende aerospaziali, produttori con legami con componenti militari e droni, enti di ricerca nucleare e chimica, oltre a organizzazioni internazionali impegnate nel monitoraggio del conflitto e negli aiuti umanitari in Ucraina.
Un elemento rilevante è l’evoluzione delle capacità operative del gruppo. Pur essendo considerato meno sofisticato rispetto ad altri gruppi russi, l’attore sta superando alcune limitazioni tecniche grazie all’uso di LLM, cioè modelli linguistici di grandi dimensioni. Questi strumenti vengono sfruttati per la ricognizione, la creazione di esche di social engineering e per ottenere risposte a domande tecniche utili nelle fasi successive alla compromissione, inclusa la configurazione di infrastrutture di comando e controllo.
Campagne e obiettivi
Le campagne osservate ruotano soprattutto attorno al phishing. In diversi casi gli aggressori hanno impersonato organizzazioni energetiche ucraine legittime, con l’obiettivo di ottenere accesso non autorizzato ad account email aziendali e personali. Sono stati segnalati anche casi di mascheramento come società energetica rumena con clienti in Ucraina, oltre ad attività contro una società rumena e ricognizioni su organizzazioni moldave, a conferma di un interesse regionale più ampio.
Catena di infezione e tecniche
Dal punto di vista tecnico, la catena di infezione include esche generate con LLM e link a Google Drive che rimandano a un archivio RAR contenente CANFAIL. Il malware viene spesso camuffato con una doppia estensione, ad esempio pdf.js, per sembrare un documento PDF. CANFAIL è un malware JavaScript offuscato che esegue uno script PowerShell, il quale scarica ed esegue un dropper PowerShell in memoria. In parallelo viene mostrato un falso messaggio di errore per ridurre i sospetti della vittima.
Collegamento a PhantomCaptcha
Google collega inoltre questo attore a una campagna denominata PhantomCaptcha, basata su email di phishing che portano a pagine false con istruzioni in stile ClickFix per avviare la sequenza di infezione e distribuire un trojan basato su WebSocket.