文章总结： 谷歌威胁情报小组揭露了一个与俄罗斯情报机构有关联的未知威胁行为者，利用CANFAIL恶意软件攻击乌克兰政府、军事及能源等关键机构。该组织技术手段相对有限，但借助大型语言模型提升攻击能力，实施定制化钓鱼攻击。攻击通过伪装合法机构的邮件传播恶意软件，CANFAIL为混淆JavaScript脚本，具备内存驻留特性。此外，该组织还关联到PhantomCaptcha活动，显示出对乌克兰相关目标的持续威胁。 综合评分： 78 文章分类： 威胁情报,恶意软件,社会工程学,AI安全

谷歌将疑似俄罗斯黑客与针对乌克兰组织的CANFAIL恶意软件攻击联系起来

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月14日 14:01 辽宁

此前未被记录在案的威胁行为者被指使用名为CANFAIL的恶意软件攻击乌克兰组织。

谷歌威胁情报小组 (GTIG) 将该黑客组织描述为可能与俄罗斯情报机构有关联。据评估，该威胁行为者曾以乌克兰地方和国家政府的国防、军事、政府和能源机构为攻击目标。

GTIG补充说，该组织还对航空航天组织、与军事和无人机有联系的制造公司、核能和化学研究组织以及参与乌克兰冲突监测和人道主义援助的国际组织表现出越来越浓厚的兴趣。

“尽管该组织的技术水平和资源不如其他俄罗斯威胁组织，但最近它开始利用大型语言模型 (LLM) 克服一些技术限制，” GTIG表示。

“他们通过诱导进行侦察，制造诱饵进行社会工程攻击，并寻求入侵后活动和 C2 基础设施设置的基本技术问题的答案。”

最近的网络钓鱼活动涉及攻击者冒充合法的乌克兰国家和地方能源组织，以获取对组织和个人电子邮件帐户的未经授权的访问权限。

据称，该组织还伪装成一家与乌克兰客户合作的罗马尼亚能源公司，此外还以一家罗马尼亚公司为目标，并对摩尔多瓦组织进行侦察。

为了实施攻击，攻击者会根据研究结果，生成针对特定地区和行业的定制化电子邮件地址列表。攻击链中似乎包含由LLM生成的诱饵，并嵌入指向包含CANFAIL恶意软件的RAR压缩包的Google Drive链接。

CANFAIL 通常伪装成 PDF 文档（*.pdf.js），使用双重扩展名。它是一种混淆的 JavaScript 恶意软件，旨在执行一个 PowerShell 脚本，该脚本会下载并执行一个仅占用内存的 PowerShell 投放器。同时，它还会向受害者显示一条虚假的“错误”消息。

谷歌表示，该威胁行为者还与名为PhantomCaptcha的活动有关。该活动由 SentinelOne SentinelLABS 于 2025 年 10 月披露，其目标是与乌克兰战争救援工作相关的组织，通过网络钓鱼电子邮件将收件人引导至虚假页面，这些页面包含ClickFix 式的说明，用于激活感染序列并传播基于 WebSocket 的木马程序。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《谷歌将疑似俄罗斯黑客与针对乌克兰组织的CANFAIL恶意软件攻击联系起来》