Een voorheen ongedocumenteerde bedreigingsacteur wordt toegeschreven aan aanvallen gericht op Oekraïense organisaties met malware die bekend staat als KAN FOUT.
Google Threat Intelligence Group (GTIG) beschreef de hackgroep mogelijk gelieerd aan Russische inlichtingendiensten. Er wordt aangenomen dat de dreigingsactoren gerichte defensie-, militaire, overheids- en energieorganisaties binnen de Oekraïense regionale en nationale regeringen hebben.
De groep heeft echter ook een groeiende interesse getoond in lucht- en ruimtevaartorganisaties, productiebedrijven met militaire en drone-banden, nucleaire en chemische onderzoeksorganisaties en internationale organisaties die betrokken zijn bij conflictmonitoring en humanitaire hulp in Oekraïne, voegde GTIG eraan toe.
“Ondanks dat hij minder geavanceerd en minder middelen had dan andere Russische dreigingsgroepen, begon deze actor onlangs een aantal technische beperkingen te overwinnen met behulp van LLM’s (grote taalmodellen)”, aldus GTIG.
“Op verzoek voeren ze verkenningen uit, creëren ze lokmiddelen voor social engineering en zoeken ze antwoorden op fundamentele technische vragen over post-compromisactiviteiten en het opzetten van de C2-infrastructuur.”
Bij recente phishing-campagnes heeft de bedreigingsacteur zich voorgedaan als legitieme nationale en lokale Oekraïense energieorganisaties om ongeoorloofde toegang te verkrijgen tot organisatorische en persoonlijke e-mailaccounts.
De groep zou zich ook hebben vermomd als een Roemeens energiebedrijf dat met klanten in Oekraïne werkt, naast het aanvallen van een Roemeens bedrijf en het uitvoeren van verkenningen naar Moldavische organisaties.
Om zijn activiteiten mogelijk te maken, genereert de bedreigingsacteur op basis van zijn onderzoek e-mailadreslijsten die zijn afgestemd op specifieke regio’s en industrieën. De aanvalsketens bevatten schijnbaar door LLM gegenereerde lokmiddelen en bevatten Google Drive-links die verwijzen naar een RAR-archief met CANFAIL-malware.
CANFAIL, doorgaans vermomd met een dubbele extensie die zich voordoet als een PDF-document (*.pdf.js), is een versluierde JavaScript-malware die is ontworpen om een PowerShell-script uit te voeren dat op zijn beurt een PowerShell-dropper met alleen geheugen downloadt en uitvoert. Tegelijkertijd wordt er een valse ‘foutmelding’ weergegeven aan het slachtoffer.
Google zei dat de dreigingsactor ook is gekoppeld aan een campagne genaamd PhantomCaptcha die in oktober 2025 door SentinelOne SentinelLABS werd onthuld en zich richtte op organisaties die betrokken zijn bij de oorlogshulpinspanningen van Oekraïne door middel van phishing-e-mails die ontvangers naar neppagina’s leiden met instructies in ClickFix-stijl om de infectiereeks te activeren en een op WebSocket gebaseerde trojan af te leveren.
