Google Threat Intelligence Group (GTIG) a identifié un acteur de menace sans papiers, responsable d'une série d'intrusions dirigées contre des organisations ukrainiennes et regroupées sous le nom de CANFAIL. Selon l'équipe de Google, cet ensemble d'opérations montre des signes d'un lien possible avec les services de renseignement russes, et son objectif principal est les entités de défense, les forces armées, les organismes gouvernementaux et les entreprises énergétiques aux niveaux régional et national.
Toutefois, le modèle d'activité ne se limite pas à ces objectifs traditionnels. GTIG note un intérêt croissant de la part de l'exploitant dans les entreprises aérospatiales, les fabricants ayant des liens militaires et drones, les centres de recherche nucléaire et chimique, ainsi que dans les organisations internationales qui participent à la surveillance des conflits et à l'aide humanitaire. Cette gamme d'objectifs donne une intention plus large : recueillir des renseignements sensibles avec des applications militaires et civiles.
Ce qui différencie CANFAIL n'est pas nécessairement sa sophistication technique absolue, mais sa capacité à compenser les limites au moyen d'outils d'intelligence artificielle. Le rapport Google explique que le groupe utilise des modèles de langage pour des tâches spécifiques: générer des textes utilisés dans la tromperie, poser des questions qui facilitent la configuration de l'infrastructure de contrôle et de commande (C2), et accélérer la phase de reconnaissance. En d'autres termes, l'utilisation de LLM permet aux attaquants moins expérimentés de produire des leurres plus crédibles et d'accélérer les opérations qui nécessitaient auparavant un personnel hautement spécialisé. En savoir plus sur l'évaluation GTIG sur le blog officiel Google Cloud ( Voilà.).
Les campagnes d'hameçonnage attribuées à cet acteur ont adopté une tactique élémentaire mais efficace : supplanter les entités énergétiques légitimes, ukrainiennes et roumaines, pour convaincre les destinataires d'ouvrir des documents apparemment inoffensifs. Les messages contiennent des liens vers Google Drive qui masquent un fichier RAR; à l'intérieur est un fichier double extension conçu pour ressembler à un PDF (par exemple nombre.pdf.js). Lorsqu'il est activé, celui ofuscado JavaScript exécute une commande PowerShell qui est destinée à conduire un chargeur en mémoire également sur PowerShell, évitant ainsi de laisser les appareils plus faciles à détecter sur disque. Alors que l'infection se produit, la victime voit une boîte de dialogue fausse avec un message d'erreur, une tactique de coquette pour minimiser les soupçons et gagner du temps.
La principale composante technique, CANFAIL, est donc une chaîne d'attaque conçue pour maximiser le succès de la tromperie et minimiser l'empreinte médico-légale dans les systèmes compromis. En combinant la désuétude JavaScript, l'exécution via PowerShell en mémoire et les leurres visuels qui simulent les échecs, la campagne cherche un accès persistant et discret aux comptes de courrier et aux ressources internes.
De plus, GTIG relate l'acteur à une autre campagne précédemment attribuée connue sous le nom de PhantomCaptcha, qui a été décrite par des chercheurs de SentinelOne. Cette opération a favorisé de fausses pages qui ont guidé les victimes à activer la chaîne d'infection et s'est terminée par la livraison d'un Trojan basé sur WebSocket. Pour un aperçu plus large de la recherche de SentinelOne, consultez votre centre de recherche ( SentinelLabs) où des analyses techniques et des alertes sur les menaces émergentes sont publiées.
Un aspect inquiétant de ces tactiques est l'utilisation de modèles linguistiques pour améliorer les techniques d'ingénierie sociale. Utilisez les LLM pour écrire des courriels hautement personnalisables, générer des listes d'adresses spécifiques par région et par industrie ou concevoir des pages d'hameçonnage convaincantes réduit la barrière d'entrée pour les attaquants avec des ressources limitées. Les institutions et les équipements de sécurité doivent examiner cette nouvelle variable : non seulement ils font face aux opérateurs avec des outils traditionnels, mais aussi aux acteurs qui amplifient leur efficacité avec des capacités de génération automatique de texte. Les organes européens et les agences de cybersécurité analysent déjà l'impact de l'utilisation malveillante de l'IA sur le cyberespace; des rapports généraux et des recommandations sur les risques de l'IA et de la cybersécurité peuvent être consultés à l'Agence de l'Union européenne pour la cybersécurité ( ENISA).
Sur le plan pratique, que peuvent faire les organisations pour réduire le risque posé par une menace comme CANFAIL? Premièrement, renforcer la vérification d'identité de l'expéditeur et l'analyse des liens hébergés dans les services cloud; de nombreuses campagnes utilisent Google Drive et des plateformes similaires pour cacher des charges malveillantes derrière des liens légitimes. Deuxièmement, durcir les scripts et les politiques d'exécution de la télémétrie qui détectent les processus PowerShell qui téléchargent ou exécutent le code en mémoire. Troisièmement, implémentez l'authentification multifactorielle et surveillez les modèles anormaux d'accès aux comptes de courriel d'entreprise. Pour des guides pratiques sur la façon d'atténuer l'hameçonnage et les engagements initiaux, il convient d'examiner les ressources des agences nationales, comme les conseils du CERT-US sur l'ingénierie sociale et l'hameçonnage ( dans ce lien).
L'émergence d'acteurs qui combinent les techniques conventionnelles avec les capacités assistées par l'IA entraîne un changement de mentalité défensive : il ne suffit plus de bloquer les exploits techniques ; il faut prévoir des campagnes de manipulation sociale plus polies et automatisées. Les organisations sur l'orbite du conflit ukrainien et celles qui ont des relations commerciales ou logistiques dans la région devraient renforcer leur surveillance et mettre en place des contrôles spécifiques sur la gestion du courrier et l'utilisation d'outils de partage de fichiers.
Bref, le CANFAIL illustre une tendance plus large : la démocratisation des capacités offensives grâce à des outils automatisés de production de contenu. Bien que cet acteur semble moins sophistiqué que les autres groupes attribués aux États, son adoption des LLM et son accent sur les objectifs stratégiques en font un véritable risque pour les infrastructures essentielles et l'intégrité des opérations humanitaires et de surveillance. Pour compliquer le travail de ces agresseurs, il est essentiel de se tenir informé des rapports de renseignement et d'appliquer les contrôles de base de la cyberhygiène.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...