Google Threat Intelligence Group (GTIG) ha identificado a un actor de amenaza hasta ahora no documentado, responsable de una serie de intrusiones dirigidas contra organizaciones ucranianas y agrupado bajo el nombre de CANFAIL. Según el equipo de Google, este conjunto de operaciones muestra indicios de una posible vinculación con servicios de inteligencia rusos, y su foco principal incluye a entidades de defensa, fuerzas armadas, organismos gubernamentales y compañías del sector energético a nivel regional y nacional.
El patrón de actividad, sin embargo, no se limita a esos blancos tradicionales. GTIG observa un creciente interés por parte del operador en empresas aeroespaciales, fabricantes con lazos militares y de drones, centros de investigación nuclear y química, así como en organizaciones internacionales que participan en monitoreo del conflicto y ayuda humanitaria. Este abanico de objetivos delata una intención más amplia: recopilar inteligencia sensible con aplicaciones tanto militares como civiles.
Lo que diferencia a CANFAIL no es necesariamente su sofisticación técnica absoluta, sino su capacidad para compensar limitaciones mediante herramientas de inteligencia artificial. El informe de Google explica que el grupo recurre a modelos de lenguaje para tareas concretas: generar textos usados en engaños, formular preguntas que faciliten la configuración de infraestructura de control y mando (C2), y agilizar la fase de reconocimiento. En otras palabras, el uso de LLM permite a atacantes menos experimentados producir señuelos más creíbles y acelerar operaciones que antes requerían personal altamente especializado. Puede leerse más sobre la evaluación de GTIG en el blog oficial de Google Cloud (aquí).
Las campañas de phishing atribuidas a este actor han adoptado una táctica elemental pero eficaz: suplantación de entidades energéticas legítimas —tanto ucranianas como algunas con sede en Rumanía— para convencer a destinatarios de que abran documentos aparentemente inofensivos. Los mensajes contienen enlaces a Google Drive que esconden un archivo RAR; dentro se encuentra un fichero con doble extensión diseñado para parecer un PDF (por ejemplo, nombre.pdf.js). Al activarse, ese JavaScript ofuscado ejecuta un comando PowerShell cuyo propósito es volcar en memoria un cargador también en PowerShell, evitando así dejar artefactos más fáciles de detectar en disco. Mientras ocurre la infección, la víctima ve un cuadro de diálogo falso con un mensaje de error, una táctica coqueta para minimizar sospechas y ganar tiempo.
El componente técnico principal, CANFAIL, es por tanto una cadena de ataque construida para maximizar el éxito del engaño y minimizar la huella forense en los sistemas comprometidos. Al combinar ofuscación JavaScript, ejecución vía PowerShell en memoria y señuelos visuales que simulan fallos, la campaña busca acceso persistente y discreto a cuentas de correo y recursos internos.
Además, GTIG relaciona al actor con otra campaña atribuida con anterioridad y conocida como PhantomCaptcha, que fue descrita por investigadores de SentinelOne. Esa operación promovía páginas falsas que guiaban a las víctimas para activar la cadena de infección y terminaba con la entrega de un troyano basado en WebSocket. Para un panorama más amplio sobre las investigaciones de SentinelOne puede consultarse su hub de investigación (SentinelLabs), donde se publican análisis técnicos y alertas sobre amenazas emergentes.
Un aspecto preocupante de estas tácticas es el empleo de modelos de lenguaje para mejorar técnicas de ingeniería social. Usar LLMs para redactar correos altamente personalizables, generar listas de direcciones específicas por región e industria o diseñar páginas de phishing convincentes reduce la barrera de entrada para atacantes con recursos limitados. Instituciones y equipos de seguridad deben contemplar esta nueva variable: no solo se enfrentan a operadores con herramientas tradicionales, sino también a actores que amplifican su efectividad con capacidades automáticas de generación de texto. Organismos europeos y agencias de ciberseguridad ya analizan el impacto del uso malicioso de IA en el ciberespacio; informes y recomendaciones generales sobre riesgos de IA y ciberseguridad pueden consultarse en la Agencia de la Unión Europea para la Ciberseguridad (ENISA).
En términos prácticos, ¿qué pueden hacer las organizaciones para reducir el riesgo que plantea una amenaza como CANFAIL? Primero, reforzar la verificación de identidad de remitentes y el análisis de enlaces alojados en servicios en la nube; muchas campañas usan Google Drive y plataformas similares para ocultar cargas maliciosas detrás de enlaces legítimos. Segundo, endurecer políticas de ejecución de scripts y telemetría que detecte procesos PowerShell que descarguen o ejecuten código en memoria. Tercero, implementar autenticación multifactor y vigilar patrones anómalos de acceso a cuentas de correo electrónico corporativas. Para guías prácticas sobre cómo mitigar phishing y compromisos iniciales conviene revisar recursos de agencias nacionales, como los consejos de US-CERT sobre ingeniería social y phishing (en este enlace).
La aparición de actores que combinan técnicas convencionales con capacidades asistidas por IA obliga a un cambio en la mentalidad defensiva: ya no basta con bloquear exploits técnicos; hay que anticipar campañas de manipulación social más pulidas y automatizadas. Las organizaciones en la órbita del conflicto ucraniano, y aquellas con relaciones comerciales o logísticas en la región, deben aumentar su vigilancia y aplicar controles específicos sobre la gestión de correo y el uso de herramientas de compartición de archivos.
En definitiva, CANFAIL ilustra una tendencia más amplia: la democratización de capacidades ofensivas gracias a herramientas de generación de contenido automatizado. Aunque este actor parece menos sofisticado que otros grupos atribuidos a estados, su adopción de LLMs y su enfoque en objetivos estratégicos lo convierten en un riesgo real para infraestructuras críticas y para la integridad de operaciones humanitarias y de monitoreo. Mantenerse informado sobre los reportes de inteligencia y aplicar controles básicos de ciberhigiene son medidas esenciales para complicar la labor de estos atacantes.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...