ممثل تهديد GREYVIBE

تم ربط جهة تهديد مجهولة سابقًا تُعرف باسم "GREYVIBE" بحملة تجسس إلكتروني مستمرة تستهدف أوكرانيا والمنظمات المرتبطة بها منذ أغسطس/آب 2025 على الأقل. وتشير التحليلات إلى أن المجموعة تعمل بشكل أساسي ضمن المنطقة الزمنية الروسية وتتواصل باللغة الروسية. وتتوافق أنشطتها بشكل وثيق مع مصالح الدولة الروسية، لا سيما جهود جمع المعلومات الاستخباراتية المتعلقة بالنزاع الروسي الأوكراني الدائر.

استهدفت مجموعة GREYVIBE قطاعات واسعة، بما في ذلك المؤسسات العسكرية والوكالات الحكومية والمنظمات المدنية والشركات الخاصة. وبينما تُظهر عمليات المجموعة سمات مرتبطة بنشاط الدول، تشير الأدلة أيضاً إلى وجود صلات مع المشهد الإجرامي الإلكتروني الروسي الأوسع نطاقاً من خلال أفراد يُعتقد أنهم عناصر حالية أو سابقة في مجال الجرائم الإلكترونية.

أساليب عدوى متنوعة وترسانة برامج خبيثة مخصصة

يستخدم المهاجم مجموعة متنوعة من آليات الاختراق للوصول إلى الضحايا، بما في ذلك حملات التصيد الاحتيالي الموجهة بدقة، وصفحات التحقق من CAPTCHA الخادعة، ومواقع الترفيه الإباحي المزيفة ذات الطابع الأوكراني. ويعتمد GREYVIBE، في جميع عملياته، بشكل مستمر على برامج خبيثة وبرامج تحميل وأدوات تمويه مطورة داخليًا لتجنب الكشف عنه والحفاظ على الوصول إلى الأنظمة المخترقة.

تم رصد العديد من أطر الهجوم المتميزة:

• يوزع برنامج PhantomMail ملفات ZIP وRAR خبيثة عبر رسائل بريد إلكتروني تصيدية تحتوي على روابط مستضافة على Google Drive و4sync. تتضمن هذه الملفات برامج تحميل JavaScript تقوم بتشغيل مستندات وهمية أثناء نشر PhantomRelay، وهو حصان طروادة للوصول عن بُعد (RAT) قائم على PowerShell، قادر على استطلاع النظام وتنفيذ الأوامر عن بُعد.
• يستغل برنامج PhantomClick صفحات CAPTCHA مزيفة على غرار ClickFix، مستضافة على نطاقات تنتحل صفة خدمات مثل Zoom وLAPAS. ويتم التلاعب بالضحايا لحملهم على تنفيذ أوامر تُطلق سلسلة عدوى PhantomRelay.
• يستخدم موقع PrincessClub مواقع إلكترونية مزيفة لأندية البالغين الأوكرانية لتوزيع برنامج التجسس FallSpy على أجهزة أندرويد، وبرنامجي PhantomRelayV1 أو LegionRelay على أنظمة ويندوز. وقد أضافت الإصدارات اللاحقة من هذه المواقع خاصية المكالمات المباشرة عبر WebRTC لالتقاط الصوت والفيديو للضحايا. يستطيع FallSpy جمع معلومات حساسة من أجهزة أندرويد المصابة، بينما يدعم LegionRelay اكتشاف الملفات، وسرقة البيانات، والتقاط لقطات الشاشة، واستخراج بيانات اعتماد المتصفح، وجمع البيانات من تيليجرام وواتساب، وتكوين بروتوكول سطح المكتب البعيد (RDP). ويُعدّ PhantomRelayV1 تطويرًا لبرنامج PhantomRelay الأصلي بإضافة آلية مراقبة مخصصة.
• تتنكر شركة DroneLink في صورة منظمات خيرية تدعم القوات المسلحة الأوكرانية، وتقدم خدمة WireGuard جنبًا إلى جنب مع LegionRelay.
• تقوم شركة Nebo بنشر نسخة معدلة من برنامج FallSpy متنكرة في هيئة بوابة تسجيل دخول باللغة الروسية، ومن المرجح أن يكون الهدف منها خداع أفراد الجيش الأوكراني وإيهامهم بأنهم يصلون إلى نظام عسكري روسي شرعي.

الذكاء الاصطناعي كمضاعف للقوة

من أبرز سمات عمليات مجموعة GREYVIBE اعتمادها الواضح على الذكاء الاصطناعي التوليدي ونماذج اللغة الضخمة لتعزيز قدراتها الهجومية. وتشير الأدلة إلى أن المجموعة استخدمت منصات مثل Ideogram AI وOpenAI ChatGPT وGoogle Gemini للمساعدة في توليد الصور، وتطوير البرمجيات الخبيثة، وإخفاء النصوص البرمجية، وإنشاء البنية التحتية الخلفية، وعمليات ما بعد الاختراق.

يوفر هذا النهج المدعوم بالذكاء الاصطناعي العديد من المزايا التشغيلية. فهو يساعد على تعويض النقص في المهارات التقنية، ويسرع دورات التطوير، ويقلل الاعتماد على عائلات البرامج الضارة والأدوات التي تم تحديدها مسبقًا والتي يمكن أن تسهل تحديد مصدرها.

يشكل الاستخدام المتزايد للذكاء الاصطناعي في العمليات السيبرانية تحديًا كبيرًا للمدافعين. إذ يمكن للمهاجمين إنشاء أو تعديل أو استبدال مكونات أدواتهم بسرعة، مما يقلل من فعالية أساليب تحديد المصدر التقليدية التي تعتمد على مؤشرات تقنية ثابتة وآثار برمجيات خبيثة متكررة.

تكشف نقاط الضعف التشغيلية عن فجوات في التنمية

على الرغم من استفادة برنامج GREYVIBE من التطوير المدعوم بالذكاء الاصطناعي، إلا أنه أظهر العديد من أوجه القصور الأمنية التشغيلية. فقد حدد الباحثون عيوبًا في تصميم برنامج LegionRelay كشفت عن غير قصد وظائف النظام الخلفي، مما وفر نظرة ثاقبة على العمليات الداخلية للبرنامج الخبيث.

تُعدّ هذه الأخطاء نادرةً عمومًا بين الجهات الفاعلة المدعومة من دول ذات مستوى عالٍ من التطور، مما يُشير إلى أن "غريفايب" قد لا تُمثّل عملية استخباراتية تقليدية. بل يبدو أن المجموعة تمتلك مستوىً منخفضًا إلى متوسط من التطور التقني، مع توظيفها لتقنيات الذكاء الاصطناعي لتعزيز قدراتها بما يتجاوز مستوى مهاراتها الذاتية.

مؤشرات على وجود صلات مع المجرمين الإلكترونيين

تشير نتائج متعددة إلى أن منظمة GREYVIBE تحافظ على صلات مع النظام البيئي الأوسع للجرائم الإلكترونية الروسية:

• الوصول إلى أو استخدام أداة بناء ISO المرتبطة بعلاقات مشتبه بها مع عصابة TrickBot و UAC-0098.
• الكشف عن متغيرات PhantomRelay ضمن حملات إجرامية إلكترونية تبدو غير ذات صلة، بما في ذلك عمليات التصيد الصوتي عبر Microsoft Teams التي أجريت بين يوليو 2025 وفبراير 2026 وحملات توصيل KongTuke التي لوحظت بين فبراير ومارس 2026 والتي استخدمت تقنيات ClickFix.
• تحميل عينات من مراحل التطوير والاختبار المبكرة.
• استخدام مصطلحات الإنترنت العامية غير الرسمية مثل "letsrollboyos" و "totallyunsus" و "cuteuwu" في اصطلاحات تسمية عناصر التطوير.

تدعم هذه المؤشرات تقييمًا بدرجة ثقة معتدلة مفاده أن GREYVIBE لديها علاقات ذات مغزى مع شبكات الجريمة الإلكترونية وتقييمًا بدرجة ثقة منخفضة إلى معتدلة مفاده أن بعض الأعضاء قد يكونون حاليًا، أو كانوا في السابق، متورطين في أنشطة الجريمة الإلكترونية.

طمس الخط الفاصل بين عمليات الدولة والعمليات الجنائية

لا تزال طبيعة علاقة منظمة GREYVIBE بالدولة الروسية غير واضحة. وتوجد عدة احتمالات، منها دمج عناصر من المجرمين الإلكترونيين في منظمة مدعومة من الدولة، أو قيام جهات مستقلة بتنفيذ مهام موجهة من الدولة، أو تشكيل هيكل هجين يجمع بين عناصر إجرامية وعناصر تابعة للدولة.

ونتيجة لذلك، تحتل مجموعة GREYVIBE موقعاً معقداً بين الجرائم الإلكترونية التقليدية والعمليات الإلكترونية المرتبطة بالحكومات. هذا التداخل يعقد جهود تحديد المسؤولية ويسلط الضوء على الحدود غير الواضحة بشكل متزايد بين النشاط الإجرامي الإلكتروني ذي الدوافع المالية والعمليات الاستخباراتية التي ترعاها الدول.