Кампанията комбинира фишинг, фалшиви сайтове, Android шпионски приложения и инструменти, разработени с помощта на генеративен ИИ
Нова вероятно руска кибершпионска група, проследявана под името GreyVibe, използва генеративен ИИ, сложни социални инженерни техники и богат набор от персонализирани инструменти за компрометиране на организации от военния, държавния, гражданския и бизнес сектора. Кампанията е активна поне от август 2025 г., като основният фокус е насочен към украински или свързани с Украйна организации.
Разследването е проведено от WithSecure, чиито анализатори посочват, че въпреки ясните връзки с руски интереси, засега няма достатъчно доказателства групата категорично да бъде определена като официална държавна структура.
Следи към рускоезична операция
Изследователите свързват GreyVibe с рускоезична среда чрез няколко ключови индикатора:
- руски език в контролни панели и кодови коментари;
- инфраструктура, работеща в часовата зона UTC+3 (московско време);
- тематични примамки, насочени към украински военни и държавни структури;
- използване на инфраструктура и техники, свързвани с предишни руски операции.
Според експертите групата демонстрира добра адаптивност и високо ниво на активност, но същевременно не показва типичната оперативна дисциплина на най-зрелите държавни APT структури.
Многостепенни атаки с фалшиви сайтове и ИИ съдържание
GreyVibe използва няколко отделни кампании и сценарии за заразяване.
PhantomMail – фишинг с фалшиви документи
При тази схема нападателите изпращат spear-phishing имейли с прикачени ZIP и RAR архиви, разпространявани чрез Google Drive и 4sync линкове.
Примамките имитират:
- украински държавни институции;
- телекомуникационни оператори;
- енергийни компании;
- служби за спешна помощ.
Жертвите виждат фалшиви PDF документи или съобщения за грешка, докато във фонов режим се инсталира зловреден код.
PhantomClick – фалшиви CAPTCHA проверки
Друг механизъм използва фалшиви CAPTCHA и ClickFix страници, маскирани като:
- Zoom портали;
- Cloudflare проверки;
- украински онлайн услуги.
Потребителите биват подлъгвани сами да стартират злонамерени PowerShell команди под претекст за „верификация“.
PrincessClub и DroneLink – социално инженерство чрез фалшиви връзки и военни каузи
Особено тревожна е кампанията PrincessClub, която използва фалшиви украински сайтове за запознанства и съдържание за възрастни.
Операторите създават:
- фалшиви женски Telegram профили;
- измамни чатове;
- WebRTC видеоразговори;
- социални сценарии за изграждане на доверие.
След установяване на контакт жертвите биват насочвани към заразени приложения или инструменти.
Паралелно с това операцията DroneLink използва фалшиви сайтове за дарения за FPV дронове и украински безпилотни системи. Анализаторите откриват обща инфраструктура и сходни инструменти между DroneLink и PrincessClub.
ИИ се използва както за примамките, така и за самия malware
Според WithSecure групата активно използва генеративни ИИ платформи като:
- ChatGPT
- Google Gemini
- Ideogram AI
Чрез тях се създават:
- реалистични изображения;
- убедителни фишинг материали;
- визуални елементи;
- текстове и легенди за примамките.
Изследователите са открили и характерни маркери в изображенията, които подсказват автоматично генерирано съдържание.
Освен това GreyVibe вероятно използва ИИ помощ и при разработката на собствените си инструменти за обфускация и зловреден код.
LegionRelay и PhantomRelay – PowerShell RAT инструменти
Сред основните инструменти на групата се откроява LegionRelay – PowerShell базиран троянски кон за отдалечен достъп.
Функциите му включват:
- кражба на файлове;
- прихващане на екранни снимки;
- извличане на браузърни идентификационни данни;
- кражба на Telegram и WhatsApp данни;
- конфигуриране на RDP достъп.
Друг използван malware е PhantomRelay, който поддържа:
- fingerprinting на системата;
- динамично зареждане на скриптове;
- изпълнение на PowerShell команди;
- изпълнение на Windows команди.
FallSpy – Android spyware за събиране на разузнавателни данни
GreyVibe използва и Android spyware, наречен FallSpy, основно в кампаниите PrincessClub и Nebo.
Шпионският софтуер събира:
- списъци с контакти;
- обаждания;
- SIM информация;
- локация;
- медийни файлове;
- мрежови и системни данни.
Целта му е чисто разузнавателна и информационна.
Възможна връзка между киберпрестъпници и държавни структури
Според WithSecure GreyVibe може да представлява хибридна структура между държавно насочени оператори и бивши киберпрестъпници.
Сред доказателствата за това са:
- използване на инструменти, свързвани с бивши членове на TrickBot;
- качване на тестови malware версии в публични сканиращи услуги;
- случаи на криптомайнинг върху компрометирани устройства.
Подобно поведение е необичайно за класическите държавни APT групи и подсказва по-слаба оперативна дисциплина.
Новата реалност – ИИ ускорява кибершпионажа
Случаят GreyVibe показва колко бързо генеративният ИИ променя съвременните кибероперации. Създаването на убедителни фишинг сценарии, визуални примамки и дори malware инструменти вече изисква значително по-малко ресурси и технически умения.
Това допълнително затруднява защитата на организациите, тъй като атаките стават по-мащабни, по-персонализирани и по-трудни за разпознаване чрез традиционни защитни механизми.
