Souhrn
Google Threat Intelligence Group identifikoval novou APT skupinu, kterou spojuje s ruskou inteligencí, zaměřenou na phishingové útoky s malwarem CANFAIL především proti ukrajinským organizacím. Tato skupina, přestože je méně sofistikovaná než jiné ruské aktéry, používá velké jazykové modely (LLM) k reconnaissance, tvorbě lákadel pro sociální inženýrství a řešení technických otázek pro následné kompromitace a nastavení velení a řízení (C2). Útoky cílí na kritickou infrastrukturu v kontextu probíhajícího konfliktu.
Klíčové body
- APT skupina provádí phishing s odkazy na Google Drive obsahujícími RAR archivy s CANFAIL malwarem, maskovanými jako soubory .pdf.js.
- CANFAIL je obfuscovaný JavaScript, který spouští PowerShell skript pro stažení a spuštění druhé fáze payloadu.
- Skupina používá LLM k překonání svých limitů: pro průzkum, tvorbu přizpůsobených e-mailů a technické rady pro C2 infrastrukturu.
- Cíle zahrnují ukrajinskou obranu, armádu, vládu, energetiku, aerospace, výrobce dronů, jaderný výzkum a humanitární organizace; zkoumá také Rumunsko a Moldavsko.
- Google Threat Intelligence Group (GTIG) je tým specializovaný na analýzu globálních kyberhrozeb.
Podrobnosti
Podle zprávy GTIG z 14. února 2026 tato dosud nedokumentovaná APT skupina vykonává cílené phishingové kampaně, kde e-maily obsahují odkazy na Google Drive. Tyto odkazy vedou k RAR archivům s CANFAIL malwarem, který útočníci maskují dvojitou příponou jako .pdf.js, aby obešli základní kontroly. CANFAIL je napsán v JavaScriptu s obfuscací, což ztěžuje detekci antivirovými programy. Po spuštění deobfuscuje kód a iniciuje PowerShell skript, který stáhne a vykoná druhou fázi útoku – typicky další payload pro trvalý přístup k systému.
Skupina se zaměřuje na regionální i národní úrovně v Ukrajině, včetně obranných firem, vojenských zařízení, vládních úřadů a energetických společností. Mezi další zájmy patří výrobci letadel a dronů, jaderné výzkumné ústavy a humanitární skupiny podporující Ukrajinu. GTIG zaznamenal i průzkum cílů v Rumunsku a Moldavsku, což naznačuje širší zájem v regionu. Na rozdíl od vyspělejších ruských skupin jako Sandworm nebo APT28 je tento aktér méně zdrojově silný, ale kompenzuje to LLM. Tyto modely slouží k automatizovanému průzkumu o cílech, generování přesvědčivých phishingových lákadel (např. personalizovaných e-mailů) a odpovědím na technické dotazy, jako nastavení C2 serverů pro dálkové ovládání infikovaných systémů. Tento přístup snižuje potřebu expertizy a umožňuje rychlé adaptace. V kontextu rusko-ukrajinského konfliktu tyto útoky ohrožují operační schopnosti obrany a kritické infrastruktury, kde malware může sloužit k špionáži, sabotáži nebo krádeži dat.
Proč je to důležité
Tento incident ukazuje na demokratizaci kybernetických útoků díky LLM, které umožňují i méně kvalifikovaným aktérům efektivně cílit kritickou infrastrukturu. Pro Ukrajinu to znamená zvýšené riziko v energetice a obraně, kde kompromitace může vést k výpadkům nebo únikům citlivých dat během války. Širší implikace zahrnují trend integrace AI do státních sponzorovaných operací, což nutí obranné týmy vylepšovat detekci AI-generovaného obsahu v phishingu a posilovat ochranu proti obfuscovaným skriptům. Pro průmysl to podtrhuje nutnost monitoringu LLM zneužití a rychlého patchování PowerShell zranitelností, protože podobné taktiky se rozšíří i mimo region.
Zdroj: 📰 Securityaffairs.com
