Google vincula a actor sospechoso de espionaje ruso con el nuevo malware "CANFAIL" contra infraestructura crítica en Ucrania
El Grupo de Inteligencia de Amenazas de Google (GTIG) ha identificado y atribuido una nueva y sofisticada campaña de ciberespionaje a un actor de amenazas, hasta ahora no documentado, vinculado con alta probabilidad a los servicios de inteligencia de Rusia. El grupo está utilizando un malware inédito denominado "CANFAIL" para atacar sectores estratégicos en Ucrania.
Objetivos: Energía, Defensa y Ayuda Humanitaria
Según el informe técnico, la operación no solo se ha centrado en objetivos militares y gubernamentales tradicionales, sino que ha expandido su alcance hacia organizaciones de energía (tanto nacionales como locales) y empresas de manufactura relacionadas con la producción de drones.
Además, Google advirtió que el grupo ha mostrado un interés inusual en organismos internacionales que supervisan el conflicto y en entidades de ayuda humanitaria, lo que sugiere un esfuerzo coordinado por recolectar inteligencia sobre la logística de socorro y el monitoreo de la guerra.
El "Modus Operandi": IA Generativa y Google Drive
La investigación destaca la evolución en las tácticas de ingeniería social de este actor. La cadena de ataque comienza con correos electrónicos de phishing altamente personalizados que presentan las siguientes características:
Contenido generado por IA: Los atacantes utilizan modelos de lenguaje de gran tamaño (LLM) para redactar señuelos en ucraniano y rumano con una perfección gramatical que dificulta su detección como fraude.
Suplantación de identidad: Se hacen pasar por empresas energéticas legítimas de Ucrania y Rumania para generar confianza en la víctima.
Distribución mediante la nube: Los correos contienen enlaces a Google Drive que redirigen a archivos comprimidos (RAR). Al abrirse, estos ejecutan el malware CANFAIL.
El malware CANFAIL y la conexión con "PhantomCaptcha"
CANFAIL es descrito como un software malicioso diseñado para el robo de información sensible y el establecimiento de acceso persistente en las redes comprometidas.
Un hallazgo clave de Google vincula a este actor con una campaña anterior denominada "PhantomCaptcha", detectada a finales de 2025. Dicha campaña utilizaba errores falsos en sitios web para engañar a los usuarios y obligarlos a ejecutar comandos manuales (técnica ClickFix), lo que demuestra que este grupo ruso está integrando diversas metodologías de ataque para maximizar su éxito.
Alerta Regional
Aunque el foco principal es Ucrania, Google ha detectado actividades de reconocimiento y ataques menores contra organizaciones en Rumania y Moldavia, lo que indica que la operación tiene un componente de inteligencia regional destinado a entender el apoyo de los países vecinos a la resistencia ucraniana.
"Este actor está demostrando una capacidad de adaptación notable, combinando herramientas de inteligencia artificial para el contacto inicial con malware especializado para la extracción de datos", concluyó el reporte de GTIG. Se recomienda a las organizaciones en la región reforzar la autenticación de múltiples factores y la inspección de archivos descargados desde servicios de almacenamiento en la nube.