文章总结： 文章披露了一个疑似俄方背景的全新APT组织利用AI大模型辅助开发CANFAIL恶意软件，针对乌克兰国防能源等关键基础设施发起攻击。该组织利用LLM生成高质量钓鱼邮件、辅助C2搭建，显著降低了攻击门槛。CANFAIL采用JS混淆与内存驻留技术，通过双重扩展名伪装传播。文章呼吁全球升级防御体系以应对AI赋能的新型网络战威胁，并建议加强人员培训与跨国情报共享。 综合评分： 78 文章分类： 威胁情报,恶意软件,AI安全,安全大事件

警惕！俄相关的全新APT组织使用AI加持的新型恶意软件CANFAIL，乌克兰成主要攻击目标

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年2月16日 12:00 广东

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

2026年开年以来，全球网络安全局势持续紧张，俄乌之间的网络对抗更是愈演愈烈。近日，谷歌威胁情报小组（GTIG）曝出重磅消息：一个疑似与俄罗斯情报部门有关联的全新APT组织，正利用一款名为CANFAIL的新型恶意软件，对乌克兰展开针对性网络攻击，而更令人警惕的是，该组织竟借助大语言模型（LLMs）弥补技术短板，让网络攻击的隐蔽性和精准度大幅提升。这场AI赋能的网络战，已然成为全球网络安全的全新挑战。

精准打击！乌克兰多核心领域遭锁定

此次被曝光的APT组织，将攻击矛头直指乌克兰的核心命脉领域，涵盖国防、军事、政府机构、能源系统等国家级和地区级关键实体，甚至对乌克兰的航空航天、无人机制造商、核研究机构以及相关人道主义组织也虎视眈眈。不仅如此，该组织的攻击范围还向外延伸，对罗马尼亚和摩尔多瓦的相关实体也进行了网络探测，其扩张的攻击意图昭然若揭。

在俄乌冲突的背景下，乌克兰的能源、国防等领域本就承受着巨大的现实压力，2026年初的极端寒潮已让乌克兰电网不堪重负，而此次网络攻击的到来，无疑是对乌克兰关键基础设施的又一重击，一旦这些领域的网络系统被攻破，造成的后果将不堪设想。

AI赋能！技术短板竟成攻击“巧思”

与其他实力雄厚、技术成熟的俄罗斯威胁组织不同，这个全新的APT组织在技术水平和资源储备上都稍显逊色，但他们却找到了一条“捷径”——利用大语言模型（LLMs）突破技术限制，这也是此次攻击最值得关注的特点。

谷歌的报告指出，该组织通过向大语言模型输入提示词，完成了一系列以往需要专业技术能力才能实现的操作：利用LLMs开展网络侦察，精准收集目标信息；生成极具迷惑性的社会工程学诱饵，打造钓鱼邮件；甚至借助LLMs解答攻击后渗透活动和C2基础设施搭建中的基础技术问题。以往错字连篇、语气生硬的钓鱼邮件，在LLMs的加持下，变得语言正式、模板规范，完美模仿官方文书风格，让受害者难以分辨真伪。

这种AI与网络攻击的结合，正成为网络安全领域的新趋势。此前已有多家机构证实，生成式AI正在被网络犯罪团伙系统性滥用，它不仅降低了网络攻击的技术门槛，还让攻击的定制化、精准化程度大幅提升，传统的网络防御手段正面临严峻考验。

CANFAIL作恶！层层伪装的攻击链条

作为此次攻击的核心武器，CANFAIL恶意软件的攻击链条设计得十分隐蔽，步步为营诱导受害者中招。该组织通过发送LLMs生成的钓鱼邮件作为初始攻击入口，邮件中附带谷歌云端硬盘（Google Drive）链接，看似是正常的文件分享，实则隐藏着恶意的RAR压缩包。

为了进一步迷惑受害者，压缩包还采用了.pdf.js的双重扩展名伪装，让用户误以为是PDF文档，放松警惕。当受害者打开文件后，CANFAIL恶意软件便开始发挥作用：它本质是经过混淆处理的JavaScript代码，运行后会触发PowerShell脚本，自动下载并执行第二阶段的载荷，而这个载荷大多是仅驻留内存的PowerShell投放器，难以被传统检测工具发现。更具迷惑性的是，在整个攻击过程中，软件还会向受害者弹出虚假的“错误”窗口，让用户以为只是文件打开失败，从而掩盖恶意操作的痕迹。

网络战升级！俄乌对抗蔓延至数字空间

事实上，CANFAIL恶意软件的攻击并非个例，谷歌威胁情报小组还发现，多个俄罗斯间谍组织正持续针对乌克兰及西方国防相关机构发起网络攻击，且大多采用军事、无人机主题的诱饵，攻击手段层出不穷：

• APT44利用WAVESIGN等工具窃取Signal、Telegram的用户数据，盯上了乌军的通信工具；

• TEMP.Vermin通过航空航天、无人机主题域名，投放VERMONSTER等恶意软件；

• UNC5125则用谷歌表单作为诱饵，针对乌克兰前线无人机部队发起攻击……

这些攻击背后，折射出俄乌网络战的全面升级。俄罗斯的网络作战已不再局限于针对机构组织，而是将目标扩大到个人，以此为前线作战提供支持。究其原因，一方面是因为商用、现成技术的普及，让网络攻击的实施成本更低、门槛更小；另一方面，乌军在作战中高度依赖安全通讯应用，这些应用也成为了网络攻击的重要突破口，俄罗斯威胁组织甚至试图从缴获的移动设备中提取通讯应用的本地数据库，获取关键军事信息。

而在这场网络对抗中，技术的博弈也从未停止。此前乌克兰曾借助星链的“白名单”机制，切断了俄罗斯境内非法使用的星链终端信号，让俄方的无人机、通讯系统一度陷入瘫痪。如今俄方在网络攻击中引入AI技术，无疑是新一轮的技术反击，俄乌之间的对抗，已然从现实战场蔓延至数字空间，成为一场全方位的技术较量。

全球警示！AI时代的网络防御刻不容缓

此次CANFAIL恶意软件的攻击事件，给全球网络安全敲响了警钟。生成式AI的普及，让网络攻击的形态发生了根本变化，以往依靠关键词、黑名单拦截钓鱼邮件的传统防御手段，在AI生成的高度拟真内容面前，已然失效。当网络犯罪团伙可以借助AI批量生成精准、隐蔽的钓鱼邮件，甚至快速编写恶意脚本时，全球的网络安全防御体系都需要做出升级。

对于企业和关键基础设施运营方而言，需要摒弃“单一网关即可防住网络攻击”的误区，建立多层级的防御体系：一方面，加强对员工的网络安全培训，提升对AI生成钓鱼邮件的识别能力；另一方面，部署能够检测AI生成内容、监控异常行为的高级防御工具，实现对恶意软件的全链路检测。

而从全球层面来看，需要加强对生成式AI的监管，规范其使用场景，同时建立跨国的网络安全合作机制，共享威胁情报，联手打击利用AI实施的网络犯罪行为。

技术是一把双刃剑，大语言模型本是推动生产力发展的重要工具，却被别有用心者利用成为网络攻击的武器。此次CANFAIL恶意软件的攻击事件，让我们看到了AI时代网络安全的全新挑战，而如何守住数字空间的安全防线，已然成为全球亟待解决的课题。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《警惕！俄相关的全新APT组织使用AI加持的新型恶意软件CANFAIL，乌克兰成主要攻击目标》