গ্রেভাইব থ্রেট অ্যাক্টর
GREYVIBE নামে পরিচিত, পূর্বে অজ্ঞাত একটি হুমকি সৃষ্টিকারী গোষ্ঠীকে অন্তত আগস্ট ২০২৫ থেকে ইউক্রেন এবং দেশটির সাথে সংশ্লিষ্ট সংস্থাগুলোকে লক্ষ্য করে একটি ধারাবাহিক সাইবার-গুপ্তচরবৃত্তি অভিযানের সাথে যুক্ত করা হয়েছে। বিশ্লেষণে দেখা গেছে যে, গোষ্ঠীটি প্রধানত রাশিয়ার সময় অঞ্চল থেকে কাজ করে এবং রাশিয়ান ভাষায় যোগাযোগ করে। এর কার্যকলাপ রাশিয়ার রাষ্ট্রীয় স্বার্থের সাথে, বিশেষ করে চলমান রুশ-ইউক্রেনীয় সংঘাত সম্পর্কিত গোয়েন্দা তথ্য সংগ্রহের প্রচেষ্টার সাথে ঘনিষ্ঠভাবে জড়িত।
গ্রেভাইব সামরিক প্রতিষ্ঠান, সরকারি সংস্থা, বেসামরিক সংগঠন এবং ব্যক্তিগত ব্যবসাসহ বিভিন্ন খাতকে লক্ষ্যবস্তু করেছে। যদিও গোষ্ঠীটির কার্যকলাপে রাষ্ট্র-সমর্থিত কার্যকলাপের বৈশিষ্ট্য দেখা যায়, প্রমাণাদি থেকে এমন ব্যক্তিদের মাধ্যমে বৃহত্তর রুশ সাইবার অপরাধ জগতের সাথেও এর সংযোগ নির্দেশ করে, যাদের বর্তমান বা প্রাক্তন সাইবার অপরাধী বলে মনে করা হয়।
সুচিপত্র
বিভিন্ন সংক্রমণ পদ্ধতি এবং কাস্টম ম্যালওয়্যার অস্ত্রাগার
হুমকিদাতা ভুক্তভোগীদের ক্ষতিসাধন করতে বিভিন্ন ধরনের কৌশল ব্যবহার করে। এর মধ্যে রয়েছে অত্যন্ত সুনির্দিষ্ট স্পিয়ার-ফিশিং ক্যাম্পেইন, প্রতারণামূলক ক্যাপচা ভেরিফিকেশন পেজ এবং ইউক্রেনীয় থিমের ওপর ভিত্তি করে তৈরি জাল প্রাপ্তবয়স্কদের বিনোদনমূলক ওয়েবসাইট। নিজেদের কার্যক্রম জুড়ে, গ্রেভাইব শনাক্তকরণ এড়াতে এবং ক্ষতিগ্রস্ত সিস্টেমে প্রবেশাধিকার বজায় রাখতে ধারাবাহিকভাবে অভ্যন্তরীণভাবে তৈরি ম্যালওয়্যার, লোডার এবং অবফাসকেশন টুলের ওপর নির্ভর করে।
বেশ কয়েকটি স্বতন্ত্র আক্রমণ পদ্ধতি লক্ষ্য করা গেছে:
- ফ্যান্টমমেইল স্পিয়ার-ফিশিং ইমেইলের মাধ্যমে ক্ষতিকারক ZIP এবং RAR আর্কাইভ ছড়ায়, যেগুলোতে গুগল ড্রাইভ এবং 4sync-এ হোস্ট করা লিঙ্ক থাকে। এই আর্কাইভগুলোতে জাভাস্ক্রিপ্ট লোডার থাকে যা ছদ্মবেশী ডকুমেন্ট চালু করে এবং একই সাথে ফ্যান্টমরিলে (PhantomRelay) স্থাপন করে। ফ্যান্টমরিলে হলো একটি পাওয়ারশেল-ভিত্তিক রিমোট অ্যাক্সেস ট্রোজান (RAT), যা সিস্টেম রিকনেসান্স এবং রিমোট কমান্ড এক্সিকিউশনে সক্ষম।
- ফ্যান্টমক্লিক, জুম এবং ল্যাপাসের মতো পরিষেবাগুলোর ছদ্মবেশে থাকা ডোমেইনে হোস্ট করা ক্লিকফিক্স-ধাঁচের নকল ক্যাপচা পেজ ব্যবহার করে। এর মাধ্যমে ভুক্তভোগীদের এমন সব কমান্ড চালাতে প্ররোচিত করা হয়, যা ফ্যান্টমরিলে সংক্রমণ শৃঙ্খলকে সক্রিয় করে তোলে।
- প্রিন্সেসক্লাব নকল ইউক্রেনীয় অ্যাডাল্ট-ক্লাব ওয়েবসাইট ব্যবহার করে অ্যান্ড্রয়েড ডিভাইসে ফলস্পাই (FallSpy) স্পাইওয়্যার এবং উইন্ডোজ সিস্টেমে ফ্যান্টমরিলেভি১ (PhantomRelayV1) বা লিজিয়নরিলে (LegionRelay) ছড়ায়। এই ওয়েবসাইটগুলোর পরবর্তী সংস্করণগুলোতে ভুক্তভোগীদের অডিও এবং ভিডিও ক্যাপচার করার জন্য ওয়েবআরটিসি (WebRTC)-ভিত্তিক লাইভ-কল কার্যকারিতা যুক্ত করা হয়েছিল। ফলস্পাই সংক্রমিত অ্যান্ড্রয়েড ডিভাইস থেকে সংবেদনশীল তথ্য সংগ্রহ করতে সক্ষম, অন্যদিকে লিজিয়নরিলে ফাইল ডিসকভারি, ডেটা চুরি, স্ক্রিনশট ক্যাপচার, ব্রাউজার ক্রেডেনশিয়াল এক্সট্র্যাকশন, টেলিগ্রাম ও হোয়াটসঅ্যাপ থেকে ডেটা সংগ্রহ এবং রিমোট ডেস্কটপ প্রোটোকল (RDP) কনফিগারেশন সমর্থন করে। ফ্যান্টমরিলেভি১ একটি কাস্টম ওয়াচডগ পারসিস্টেন্স মেকানিজম যুক্ত করে মূল ফ্যান্টমরিলের একটি বর্ধিত সংস্করণ।
- ড্রোনলিঙ্ক ইউক্রেনের সশস্ত্র বাহিনীকে সমর্থনকারী দাতব্য সংস্থা হিসেবে ছদ্মবেশ ধারণ করে এবং লিজিয়নরিলে-র পাশাপাশি ওয়্যারগার্ড সরবরাহ করে।
- নেবো একটি রুশ-ভাষার লগইন পোর্টালের ছদ্মবেশে ফলস্পাই-এর একটি সংস্করণ মোতায়েন করে, যার উদ্দেশ্য সম্ভবত ইউক্রেনীয় সামরিক কর্মীদের এই বিশ্বাস করানো যে তারা একটি বৈধ রুশ সামরিক সিস্টেমে প্রবেশ করছে।
শক্তি গুণক হিসেবে কৃত্রিম বুদ্ধিমত্তা
GREYVIBE-এর কার্যক্রমের অন্যতম উল্লেখযোগ্য দিক হলো এর আক্রমণাত্মক সক্ষমতা বাড়ানোর জন্য জেনারেটিভ কৃত্রিম বুদ্ধিমত্তা এবং বৃহৎ ল্যাঙ্গুয়েজ মডেলের উপর সুস্পষ্ট নির্ভরতা। প্রমাণ থেকে জানা যায় যে, এই গোষ্ঠীটি ইমেজ তৈরি, ম্যালওয়্যার উন্নয়ন, স্ক্রিপ্ট দুর্বোধ্যকরণ, ব্যাকএন্ড পরিকাঠামো নির্মাণ এবং নিরাপত্তা লঙ্ঘনের পরবর্তী কার্যক্রমে সহায়তার জন্য Ideogram AI, OpenAI ChatGPT, এবং Google Gemini-এর মতো প্ল্যাটফর্ম ব্যবহার করেছে।
এই এআই-সহায়তাযুক্ত পদ্ধতিটি বেশ কিছু কার্যকরী সুবিধা প্রদান করে। এটি প্রযুক্তিগত দক্ষতার ঘাটতি পূরণে সাহায্য করে, উন্নয়ন চক্রকে ত্বরান্বিত করে এবং পূর্বে চিহ্নিত ম্যালওয়্যার পরিবার ও সরঞ্জামগুলির উপর নির্ভরতা হ্রাস করে, যা শনাক্তকরণকে সহজতর করতে পারত।
সাইবার কার্যক্রমে কৃত্রিম বুদ্ধিমত্তার ক্রমবর্ধমান ব্যবহার প্রতিরোধকারীদের জন্য একটি বড় চ্যালেঞ্জ তৈরি করেছে। হুমকি সৃষ্টিকারীরা তাদের টুলসেটের উপাদানগুলো দ্রুত তৈরি, পরিবর্তন বা প্রতিস্থাপন করতে পারে, যা স্থিতিশীল প্রযুক্তিগত সূচক এবং পুনরাবৃত্ত ম্যালওয়্যার আর্টিফ্যাক্টের উপর নির্ভরশীল প্রচলিত শনাক্তকরণ পদ্ধতির কার্যকারিতা কমিয়ে দেয়।
কার্যকরী দুর্বলতাগুলো উন্নয়নের ঘাটতি প্রকাশ করে
এআই-সহায়তায় উন্নত হওয়া সত্ত্বেও, গ্রেভাইব (GREYVIBE) একাধিক পরিচালনগত নিরাপত্তা দুর্বলতা প্রদর্শন করেছে। গবেষকরা লিজিয়নরিলে (LegionRelay)-এর মধ্যে এমন কিছু নকশাগত ত্রুটি শনাক্ত করেছেন যা অনিচ্ছাকৃতভাবে ব্যাকএন্ডের কার্যকারিতা প্রকাশ করে দেয় এবং ম্যালওয়্যারটির অভ্যন্তরীণ কার্যক্রম সম্পর্কে ধারণা দেয়।
অত্যন্ত পরিশীলিত রাষ্ট্র-পৃষ্ঠপোষক গোষ্ঠীগুলোর মধ্যে এই ধরনের ভুল সাধারণত বিরল, যা থেকে বোঝা যায় যে গ্রেভাইব হয়তো কোনো প্রচলিত গোয়েন্দা সংস্থার অভিযান নয়। বরং, এই গোষ্ঠীটির প্রযুক্তিগত দক্ষতা নিম্ন থেকে মাঝারি মানের বলে মনে হয় এবং তারা নিজেদের সহজাত দক্ষতার স্তরকে ছাড়িয়ে সক্ষমতা বাড়ানোর জন্য কৃত্রিম বুদ্ধিমত্তার প্রযুক্তি ব্যবহার করছে।
সাইবার অপরাধীদের সাথে সংযোগের সূচক
একাধিক অনুসন্ধানে ইঙ্গিত পাওয়া গেছে যে গ্রেভাইব বৃহত্তর রুশ সাইবার অপরাধ জগতের সাথে সংযোগ বজায় রাখে:
- ট্রিকবট গ্যাং এবং ইউএসি-০০৯৮-এর সাথে সন্দেহজনক সম্পর্কযুক্ত একটি আইএসও-বিল্ডিং ইউটিলিটিতে প্রবেশ বা তার ব্যবহার।
- জুলাই ২০২৫ থেকে ফেব্রুয়ারি ২০২৬-এর মধ্যে পরিচালিত মাইক্রোসফ্ট টিমস ভয়েস-ফিশিং অপারেশন এবং ফেব্রুয়ারি থেকে মার্চ ২০২৬-এর মধ্যে পরিলক্ষিত ক্লিকফিক্স কৌশল ব্যবহৃত কংটুক ডেলিভারি ক্যাম্পেইনসহ আপাতদৃষ্টিতে সম্পর্কহীন সাইবার অপরাধমূলক প্রচারাভিযানের মধ্যে ফ্যান্টমরিলে ভ্যারিয়েন্টের সনাক্তকরণ।
- প্রাথমিক পর্যায়ের উন্নয়ন এবং পরীক্ষার নমুনা আপলোড করা হয়েছে।
- ডেভেলপমেন্ট আর্টিফ্যাক্টের নামকরণের রীতিতে 'letsrollboyos,' 'totallyunsus,' এবং 'cuteuwu'-এর মতো অনানুষ্ঠানিক ইন্টারনেট স্ল্যাং-এর ব্যবহার।
এই সূচকগুলো থেকে মাঝারি আত্মবিশ্বাসের সাথে এই মূল্যায়ন করা যায় যে, গ্রেভাইব (GREYVIBE)-এর সাইবার অপরাধী নেটওয়ার্কের সাথে উল্লেখযোগ্য যোগসূত্র রয়েছে এবং নিম্ন থেকে মাঝারি আত্মবিশ্বাসের সাথে এই মূল্যায়ন করা যায় যে, এর কিছু সদস্য বর্তমানে বা অতীতে সাইবার অপরাধমূলক কর্মকাণ্ডে জড়িত থাকতে পারে।
রাষ্ট্রীয় ও অপরাধমূলক কার্যক্রমের মধ্যেকার সীমারেখা অস্পষ্ট হয়ে যাওয়া
রুশ রাষ্ট্রের সাথে গ্রেভাইবের সম্পর্কের সুনির্দিষ্ট স্বরূপ এখনও অনিশ্চিত। বেশ কয়েকটি সম্ভাবনা রয়েছে, যার মধ্যে অন্তর্ভুক্ত হলো—রাষ্ট্র-সমর্থিত কোনো সংগঠনে সাইবার অপরাধী কর্মীদের একীভূতকরণ, রাষ্ট্র-নির্দেশিত কাজ সম্পাদনকারী স্বাধীন অপারেটর, অথবা অপরাধী ও রাষ্ট্র-সংশ্লিষ্ট উপাদানসমূহকে একত্রিত করে একটি সংকর কাঠামো গঠন।
ফলস্বরূপ, গ্রেভাইব প্রচলিত সাইবার অপরাধ এবং সরকার-সংশ্লিষ্ট সাইবার কার্যক্রমের মধ্যবর্তী একটি জটিল পরিসরে অবস্থান করে। এই পারস্পরিক সংযোগ অপরাধীর পরিচয় শনাক্ত করার প্রচেষ্টাকে জটিল করে তোলে এবং আর্থিকভাবে উদ্দেশ্যপ্রণোদিত সাইবার অপরাধমূলক কার্যকলাপ ও রাষ্ট্র-পৃষ্ঠপোষকতায় পরিচালিত গোয়েন্দা কার্যক্রমের মধ্যেকার ক্রমবর্ধমান অস্পষ্ট সীমারেখাকে তুলে ধরে।
