O Google Threat Intelligence Group (GTIG) identificou um ator de ameaça até agora não documentado, responsável por uma série de invasões dirigidas contra organizações ucranianas e agrupado sob o nome de CANFAIL. De acordo com a equipe Google, este conjunto de operações mostra indícios de uma possível ligação com serviços de inteligência russos, e seu foco principal inclui entidades de defesa, forças armadas, organismos governamentais e empresas do setor energético a nível regional e nacional.
O padrão de atividade, porém, não se limita a esses brancos tradicionais. A GTIG regista um crescente interesse pelo operador em empresas aeroespaciais, fabricantes com laços militares e drones, centros de investigação nuclear e química, bem como em organizações internacionais que participam na monitorização do conflito e na ajuda humanitária. Este leque de objetivos delata uma intenção mais ampla: coletar inteligência sensível com aplicações militares e civis.
O que diferencia CANFAIL não é necessariamente sua sofisticação técnica absoluta, mas sua capacidade para compensar limitações através de ferramentas de inteligência artificial. O relatório do Google explica que o grupo recorre a modelos de linguagem para tarefas concretas: gerar textos usados em enganos, formular perguntas que facilitem a configuração de infraestrutura de controle e comando (C2), e agilizar a fase de reconhecimento. Em outras palavras, o uso de LLM permite a atacantes menos experientes produzir senhões mais credíveis e acelerar operações que antes requeriam pessoal altamente especializado. Você pode ler-se mais sobre a avaliação do GTIG no blog oficial do Google Cloud ( aqui).
As campanhas de phishing atribuídas a este ator adotaram uma tática elementar, mas eficaz: suplantação de entidades energéticas legítimas – tanto ucranianas como algumas com sede na Roménia – para convencer os destinatários de abrir documentos aparentemente inofensivos. As mensagens contêm links para o Google Drive que escondem um arquivo RAR; dentro está um arquivo com dupla extensão projetado para parecer um PDF (por exemplo, nome.pdf.js). Ao ativar, esse JavaScript ofuscado executa um comando PowerShell cujo propósito é volcar em memória um carregador também em PowerShell, evitando assim deixar artefatos mais fáceis de detectar em disco. Enquanto a infecção ocorre, a vítima vê um diálogo falso com uma mensagem de erro, uma tática coqueta para minimizar suspeitas e ganhar tempo.
O componente técnico principal, CANFAIL, é, portanto, uma cadeia de ataque construída para maximizar o sucesso do engano e minimizar a pegada forense nos sistemas comprometidos. Ao combinar a ofuscação do JavaScript, a execução via PowerShell em memória e señuelos visuais que simulam falhas, a campanha busca acesso persistente e discreto a contas de e-mail e recursos internos.
Além disso, GTIG relaciona o ator com outra campanha atribuída anteriormente e conhecida como PhantomCaptcha, que foi descrita por pesquisadores do SentinelOne. Essa operação promovia páginas falsas que guiavam as vítimas para ativar a cadeia de infecção e terminava com a entrega de um troiano baseado em WebSocket. Para um panorama mais amplo sobre as pesquisas do SentinelOne, você pode consultar seu hub de pesquisa ( SentinelLabs), onde são publicadas análises técnicas e alertas sobre ameaças emergentes.
Um aspecto preocupante destas táticas é o emprego de modelos de linguagem para melhorar técnicas de engenharia social. Usar LLMs para escrever e-mails altamente personalizáveis, gerar listas de endereços específicas por região e indústria ou projetar páginas de phishing convincentes reduz a barreira de entrada para atacantes com recursos limitados. Instituições e equipamentos de segurança devem contemplar esta nova variável: não só se enfrentam operadores com ferramentas tradicionais, mas também atores que amplificam sua efetividade com capacidades automáticas de geração de texto. Agências europeias e agências de cibersegurança já analisam o impacto do uso malicioso da IA no ciberespaço; relatórios e recomendações gerais sobre riscos de IA e cibersegurança podem ser consultados na Agência da União Europeia para a Cibersegurança ( ENISA).
Em termos práticos, o que as organizações podem fazer para reduzir o risco de uma ameaça como o CANFAIL? Primeiro, reforçar a verificação de identidade de remetentes e a análise de links hospedados em serviços em nuvem; muitas campanhas usam o Google Drive e plataformas semelhantes para ocultar cargas maliciosas por trás de links legítimos. Segundo, endurecer políticas de execução de programas e telemetria que detecte processos PowerShell que baixem ou executem código em memória. Terceiro, implementar autenticação multifator e monitorar padrões anormais de acesso a contas de e-mail corporativas. Para guias práticas sobre como mitigar phishing e compromissos iniciais convém revisar recursos de agências nacionais, como conselhos de US-CERT sobre engenharia social e phishing ( nesta ligação).
O surgimento de atores que combinam técnicas convencionais com capacidades assistidas por IA obriga a uma mudança na mentalidade defensiva: já não basta bloquear exploits técnicos; há que antecipar campanhas de manipulação social mais pulidas e automatizadas. As organizações na órbita do conflito ucraniano, e aquelas com relações comerciais ou logísticas na região, devem aumentar a sua vigilância e aplicar controlos específicos sobre a gestão de correio e a utilização de ferramentas de partilha de ficheiros.
Em suma, a CANFAIL ilustra uma tendência mais ampla: a democratização de capacidades ofensivas graças a ferramentas de geração de conteúdo automatizado. Embora este ator pareça menos sofisticado que outros grupos atribuídos a estados, sua adoção de LLMs e sua abordagem em objetivos estratégicos o tornam um risco real para infraestruturas críticas e para a integridade de operações humanitárias e de monitoramento. Manter-se informado sobre os relatórios de inteligência e aplicar controlos básicos de ciber-higiene são medidas essenciais para complicar o trabalho destes atacantes.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...