Google łączy rosyjsko-powiązanego aktora z kampaniami CANFAIL przeciw Ukrainie. W tle: phishing, JavaScript (*.pdf.js) i „LLM-generated lures”

Wprowadzenie do problemu / definicja luki

W połowie lutego 2026 r. Google Threat Intelligence Group (GTIG) opisało wcześniej nieudokumentowanego aktora zagrożeń, którego działania wiąże z kampaniami wymierzonymi w ukraińskie organizacje i dystrybucją malware’u nazwanego CANFAIL. To istotne z dwóch powodów:

1. Sektorowe ukierunkowanie – cele obejmują obszary krytyczne dla państwa (obrona, administracja, energetyka).
2. Ewolucja TTP – GTIG zauważa, iż aktor zaczął wykorzystywać LLM do rozpoznania, tworzenia przynęt socjotechnicznych i wsparcia działań po kompromitacji.

W praktyce oznacza to bardziej „skalowalny” phishing (lepsza jakość treści, dopasowanie do branży/regionu) choćby u grup, które nie mają zasobów porównywalnych z topowymi rosyjskimi APT.

W skrócie

• GTIG przypisuje kampanie z CANFAIL nowemu aktorowi, prawdopodobnie powiązanemu z rosyjskimi służbami.
• Główne cele: obrona, wojsko, administracja, energetyka w Ukrainie; dodatkowo rosnące zainteresowanie aerospace, firmami powiązanymi z dronami, badaniami nuklearnymi/chemicznymi oraz organizacjami humanitarnymi i monitorującymi konflikt.
• Wektor: phishing podszywający się m.in. pod ukraińskie podmioty energetyczne; w kampanii pojawiają się linki do Google Drive z archiwum RAR zawierającym CANFAIL.
• Plik jest maskowany jako PDF poprzez podwójne rozszerzenie typu *.pdf.js.
• CANFAIL to zaciemniony JavaScript, uruchamiający łańcuch z PowerShell, w tym etap pobierający i wykonujący dropper „memory-only”.
• GTIG łączy aktora również z kampanią PhantomCaptcha, opisaną w 2025 r. przez SentinelLabs, wykorzystującą technikę ClickFix i końcowy ładunek w postaci WebSocket RAT.

Kontekst / historia / powiązania

GTIG umieszcza tę aktywność w szerszym krajobrazie zagrożeń wobec defense industrial base (DIB) – gdzie obserwuje się zarówno klasyczne włamania w infrastrukturę organizacji, jak i coraz częstsze ataki „na ludzi” (pracowników, procesy rekrutacyjne, prywatne skrzynki), co utrudnia detekcję po stronie EDR/korporacyjnego SOC.

Wątek PhantomCaptcha jest tu szczególnie ważny, bo pokazuje, iż (1) celowanie w ekosystem wsparcia Ukrainy i (2) social engineering „na klik” potrafią być bardzo dopracowane operacyjnie – SentinelLabs opisywało kampanię aktywną zaledwie jeden dzień, ale przygotowywaną miesiącami.

Analiza techniczna / szczegóły

1. Initial access: phishing + dopasowane listy adresowe

GTIG wskazuje na kampanie phishingowe, w których aktor:

• podszywa się pod krajowe i lokalne organizacje energetyczne w Ukrainie w celu przejęcia skrzynek (organizacyjnych i prywatnych),
• potrafi też udawać rumuńską firmę energetyczną współpracującą z klientami w Ukrainie, a wątek operacyjny dotyka także Rumunii i rozpoznania w Mołdawii.
• buduje listy adresowe dopasowane do regionów i branż, co zwiększa trafność i wiarygodność kampanii.

2. Przynęty generowane przez LLM

Najbardziej „nowoczesnym” elementem jest to, iż GTIG zauważa użycie LLM do:

• rozpoznania i profilowania celów,
• tworzenia treści przynęt (lures),
• uzyskiwania odpowiedzi na podstawowe pytania techniczne dot. działań po kompromitacji oraz budowy C2.

To nie musi oznaczać „AI-malware”, ale w praktyce znacząco podnosi jakość socjotechniki i skraca czas przygotowania kampanii.

3. Delivery: Google Drive → RAR → *.pdf.js

W łańcuchu dostarczenia pojawia się:

• link do Google Drive,
• archiwum RAR,
• plik udający dokument PDF dzięki podwójnemu rozszerzeniu *.pdf.js.

To klasyczny trik na zmylenie użytkownika (i czasem pobieżnej kontroli), bo ikona/„nazwa” sugerują PDF, a faktycznie uruchamiany jest skrypt.

4. CANFAIL: zaciemniony JavaScript → PowerShell → dropper w pamięci

GTIG opisuje CANFAIL jako:

• obfuscated JavaScript malware,
• którego rolą jest uruchomienie PowerShell,
• a dalej pobranie i wykonanie memory-only PowerShell droppera (czyli bez klasycznego zapisu „payloadu” na dysk),
• równolegle z wyświetleniem fałszywego komunikatu „error”, który ma obniżyć czujność ofiary.

Dlaczego to groźne? Etapy „memory-only” utrudniają analizę artefaktów na dysku i mogą ograniczać widoczność dla części narzędzi, jeżeli telemetryka PowerShell/AMSI/logowanie jest słabe lub wyłączone.

5. Powiązanie z PhantomCaptcha (ClickFix + WebSocket RAT)

GTIG łączy aktora także z kampanią PhantomCaptcha, w której:

• użytkownik jest wciągany w „instrukcję” typu ClickFix (np. skopiuj/uruchom komendę PowerShell),
• a finalny payload to WebSocket RAT umożliwiający zdalne polecenia i eksfiltrację danych.

To interesujące zestawienie: CANFAIL to „klasyczne” dostarczenie przez archiwum i plik-przynętę, a PhantomCaptcha to bardziej interaktywny social engineering, ale cel (kompromitacja) i profil ofiar pozostają spójne.

Praktyczne konsekwencje / ryzyko

1. Wzrost skuteczności phishingu dzięki LLM: lepsza polszczyzna/angielski, formalny styl, dopasowanie do procedur instytucji, szybsze tworzenie wariantów.
2. Ryzyko przejęcia skrzynek e-mail (organizacyjnych i prywatnych) jako punktu startowego do dalszych ataków (BEC, lateral movement, podszycia w korespondencji).
3. Trudniejsza detekcja etapów „in-memory” i nadużyć PowerShell, zwłaszcza w środowiskach z ograniczonym logowaniem.
4. Szeroki profil celów (od energetyki po organizacje humanitarne) zwiększa prawdopodobieństwo, iż skutki będą „łańcuchowe” – kompromitacja jednego partnera potrafi otworzyć drogę do kolejnych.

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań, które mają sens niezależnie od tego, czy jesteś bezpośrednim celem (Ukraina), czy partnerem/kontrahentem w regionie:

E-mail i przeglądanie plików

• Blokuj lub oznaczaj pliki z podwójnymi rozszerzeniami oraz nietypowymi kombinacjami typu *.pdf.js; rozważ reguły w bramkach e-mail.
• Ogranicz uruchamianie skryptów z archiwów (RAR/ZIP) i wdrażaj polityki „Mark of the Web”/ASR tam, gdzie to możliwe.

Telemetria i detekcja

• Włącz/utwardź logowanie PowerShell (Script Block Logging, Module Logging) oraz integrację AMSI – to realnie zwiększa szanse wykrycia łańcuchów JS→PS.
• Szukaj korelacji: procesy skryptowe + pobrania z chmur plikowych (np. dyski online) + nietypowe komunikaty „error” w tym samym czasie.

Kontrola tożsamości

• Wymuś MFA na poczcie oraz rozważ odporne metody (FIDO2/WebAuthn) dla kont uprzywilejowanych.
• Monitoruj anomalie logowania, reguły przekierowań w skrzynkach, OAuth consent i aplikacje pocztowe.

Odporność na ClickFix

• Przeszkol użytkowników, iż „CAPTCHA/strona ochrony” nigdy nie powinna wymagać uruchamiania komend w PowerShell/Terminalu. PhantomCaptcha pokazała, iż to działa, gdy jest dobrze opakowane.

Różnice / porównania z innymi przypadkami

CANFAIL vs PhantomCaptcha/ClickFix:

• Wektor:
  • CANFAIL: archiwum RAR + plik *.pdf.js (podszycie pod dokument).
  • PhantomCaptcha: przynęta prowadzi do „instrukcji” uruchomienia komendy (ClickFix) i końcowo RAT.
• Wspólny mianownik:
  • dominacja socjotechniki i korzystanie z „zaufanych” elementów (np. usługi chmurowe, wiarygodne szablony, formalny język),
  • profil ofiar związany z Ukrainą i jej ekosystemem wsparcia/obrony.
• Trend:
  • przesunięcie akcentu w stronę działań, które omijają klasyczną widoczność enterprise (prywatne konta, indywidualne cele, procesy HR).

Podsumowanie / najważniejsze wnioski

CANFAIL to kolejny przykład tego, iż choćby aktor oceniany jako „mniej zaawansowany” może gwałtownie zwiększać skuteczność dzięki LLM: lepsze rozpoznanie, lepsze treści phishingowe, szybsze iteracje kampanii.
Technicznie łańcuch jest pragmatyczny: RAR → *.pdf.js → JS → PowerShell → memory-only dropper, a w tle podobna filozofia „user-execution” jak w ClickFix.
Dla obrońców oznacza to konieczność połączenia: (1) higieny pocztowej i świadomości użytkowników, (2) solidnej telemetrii PowerShell, (3) twardej kontroli tożsamości.

Źródła / bibliografia

• The Hacker News: opis aktora i łańcucha CANFAIL (13 lutego 2026). (The Hacker News)
• Google Cloud Blog (GTIG): „Beyond the Battlefield: Threats to the Defense Industrial Base” (10 lutego 2026). (Google Cloud)
• SentinelOne SentinelLabs: raport „PhantomCaptcha: Multi-Stage WebSocket RAT…” (22 października 2025). (SentinelOne)
• BleepingComputer: omówienie PhantomCaptcha/ClickFix (22 października 2025). (BleepingComputer)
• The Record: tło operacyjne i cele PhantomCaptcha (22 października 2025). (The Record from Recorded Future)