Se ha atribuido a un actor de amenazas previamente indocumentado los ataques contra organizaciones ucranianas con un malware conocido como PUEDE FALLAR .

Google Threat Intelligence Group (GTIG) describió al grupo de hackers como posiblemente afiliado a los servicios de inteligencia rusos. Se estima que el actor de la amenaza atacó a organizaciones de defensa, militares, gubernamentales y energéticas de los gobiernos regionales y nacionales de Ucrania.

Sin embargo, el grupo también ha mostrado un interés creciente en las organizaciones aeroespaciales, las empresas manufactureras con vínculos militares y con aviones no tripulados, las organizaciones de investigación nuclear y química y las organizaciones internacionales que participan en la vigilancia de conflictos y la ayuda humanitaria en Ucrania, añadió GTIG.

«A pesar de ser menos sofisticado y tener menos recursos que otros grupos de amenazas rusos, este actor recientemente comenzó a superar algunas limitaciones técnicas al utilizar LLM [modelos lingüísticos grandes]», dijo GTIG dijo .

adsense

«A través de instrucciones, llevan a cabo reconocimientos, crean señuelos para la ingeniería social y buscan respuestas a preguntas técnicas básicas para la actividad posterior al compromiso y la configuración de la infraestructura C2».

Las recientes campañas de suplantación de identidad han implicado al actor de la amenaza haciéndose pasar por organizaciones energéticas ucranianas nacionales y locales legítimas para obtener acceso no autorizado a las cuentas de correo electrónico personales y de la organización.

También se dice que el grupo se hizo pasar por una empresa energética rumana que trabaja con clientes en Ucrania, además de atacar a una empresa rumana y realizar actividades de reconocimiento de organizaciones moldavas.

Para permitir sus operaciones, el actor de amenazas genera listas de direcciones de correo electrónico adaptadas a regiones e industrias específicas en función de su investigación. Al parecer, las cadenas de ataque contienen señuelos generados por LLM e incorporan enlaces de Google Drive que llevan a un archivo RAR que contiene el malware CANFAIL.

enlaces

CANFAIL, que normalmente se disfraza con una doble extensión para hacerse pasar por un documento PDF (*.pdf.js), es un malware de JavaScript ofuscado diseñado para ejecutar un script de PowerShell que, a su vez, descarga y ejecuta un cuentagotas de PowerShell que solo almacena memoria. Paralelamente, muestra a la víctima un falso mensaje de «error».

Google dijo que el actor de amenazas también está vinculado a una campaña llamada Captcha fantasma SentinelOne SentinelLabs reveló en octubre de 2025 que apuntaba a organizaciones asociadas a las iniciativas de ayuda bélica de Ucrania a través de correos electrónicos de suplantación de identidad que dirigían a los destinatarios a páginas de alojamiento falsas Instrucciones al estilo ClickFix para activar la secuencia de infección y entregar un troyano basado en WebSocket.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.