Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Amenaça persistent avançada (APT) Actor d'amenaces GREYVIBE

Actor d'amenaces GREYVIBE

El Mezo el Amenaça persistent avançada (APT), Programari maliciós
Traduir a:

Un actor d'amenaces no identificat prèviament conegut com a GREYVIBE ha estat vinculat a una campanya de ciberespionatge sostinguda dirigida a Ucraïna i organitzacions connectades al país des d'almenys l'agost de 2025. L'anàlisi suggereix que el grup opera principalment dins del fus horari rus i es comunica en rus. Les seves activitats s'alineen estretament amb els interessos de l'estat rus, en particular els esforços de recopilació d'intel·ligència relacionats amb el conflicte russo-ucraïnès en curs.

GREYVIBE s'ha dirigit a una àmplia gamma de sectors, incloent-hi institucions militars, agències governamentals, organitzacions civils i empreses privades. Si bé les operacions del grup mostren característiques associades a l'activitat de l'estat nació, les proves també indiquen connexions amb el panorama ciberdelinqüent rus més ampli a través d'individus que es creu que són actors actuals o anteriors de ciberdelinqüència.

Mètodes d’infecció diversos i arsenal de programari maliciós personalitzat

L'actor de l'amenaça utilitza diversos mecanismes de lliurament per comprometre les víctimes. Aquests inclouen campanyes de spear-phishing altament dirigides, pàgines de verificació CAPTCHA enganyoses i llocs web d'entreteniment per a adults fraudulents amb temàtica ucraïnesa. En totes les seves operacions, GREYVIBE es basa constantment en programari maliciós, carregadors i eines d'ofuscació desenvolupats internament per evadir la detecció i mantenir l'accés als sistemes compromesos.

S'han observat diversos marcs d'atac diferents:

  • PhantomMail distribueix arxius ZIP i RAR maliciosos a través de correus electrònics de spear-phishing que contenen enllaços allotjats a Google Drive i 4sync. Aquests arxius inclouen carregadors de JavaScript que llancen documents esquer mentre implementen PhantomRelay, un troià d'accés remot (RAT) basat en PowerShell capaç de reconeixement de sistemes i execució remota d'ordres.
  • PhantomClick aprofita pàgines CAPTCHA falses d'estil ClickFix allotjades en dominis que suplanten serveis com ara Zoom i LAPAS. Les víctimes són manipulades perquè executin ordres que activen la cadena d'infecció de PhantomRelay.
  • PrincessClub utilitza llocs web ucraïnesos de clubs per a adults falsificats per distribuir el programari espia FallSpy en dispositius Android i PhantomRelayV1 o LegionRelay en sistemes Windows. Les versions posteriors d'aquests llocs web van incorporar la funcionalitat de trucades en directe basada en WebRTC per capturar l'àudio i el vídeo de les víctimes. FallSpy és capaç de recopilar informació sensible dels dispositius Android infectats, mentre que LegionRelay admet el descobriment d'arxius, el robatori de dades, la captura de captures de pantalla, l'extracció de credencials del navegador, la recopilació de dades de Telegram i WhatsApp i la configuració del protocol d'escriptori remot (RDP). PhantomRelayV1 amplia el PhantomRelay original afegint un mecanisme de persistència de watchdog personalitzat.
  • DroneLink es fa passar per organitzacions benèfiques que donen suport a les Forces Armades d'Ucraïna i ofereix WireGuard juntament amb LegionRelay.
  • Nebo desplega una variant de FallSpy disfressada de portal d'inici de sessió en rus, probablement amb la intenció d'enganyar el personal militar ucraïnès fent-li creure que està accedint a un sistema militar rus legítim.

La intel·ligència artificial com a multiplicador de forces

Un dels aspectes més destacables de les operacions de GREYVIBE és la seva aparent dependència de la intel·ligència artificial generativa i els grans models de llenguatge per millorar les capacitats ofensives. L'evidència suggereix que el grup ha utilitzat plataformes com Ideogram AI, OpenAI ChatGPT i Google Gemini per ajudar amb la generació d'imatges, el desenvolupament de programari maliciós, l'ofuscació de scripts, la creació d'infraestructures de backend i les operacions posteriors a un compromís.

Aquest enfocament assistit per IA ofereix diversos avantatges operatius. Ajuda a compensar les mancances de competències tècniques, accelera els cicles de desenvolupament i redueix la dependència de famílies i eines de programari maliciós identificades prèviament que podrien facilitar l'atribució.

L'ús creixent de la IA en les operacions cibernètiques presenta un repte important per als defensors. Els actors amenaçadors poden generar, modificar o substituir ràpidament components dels seus conjunts d'eines, cosa que redueix l'eficàcia dels mètodes d'atribució tradicionals que es basen en indicadors tècnics estables i artefactes recurrents de programari maliciós.

Les debilitats operatives revelen llacunes de desenvolupament

Tot i beneficiar-se del desenvolupament assistit per IA, GREYVIBE ha demostrat múltiples deficiències de seguretat operativa. Els investigadors van identificar defectes de disseny dins de LegionRelay que exposaven inadvertidament la funcionalitat del backend, proporcionant informació sobre les operacions internes del programari maliciós.

Aquests errors són generalment poc freqüents entre actors altament sofisticats patrocinats per l'estat, cosa que suggereix que GREYVIBE potser no representa una operació de servei d'intel·ligència tradicional. En canvi, el grup sembla posseir una sofisticació tècnica de baixa a moderada mentre aprofita les tecnologies d'IA per millorar les capacitats més enllà del seu nivell d'habilitat inherent.

Indicadors de connexions ciberdelinqüents

Diverses troballes suggereixen que GREYVIBE manté vincles amb l'ecosistema rus de ciberdelinqüència més ampli:

  • Accés o ús d'una utilitat de creació d'ISO associada amb presumptes vincles amb la banda TrickBot i UAC-0098.
  • Detecció de variants de PhantomRelay dins de campanyes ciberdelinqüents aparentment no relacionades, incloent-hi operacions de phishing per veu de Microsoft Teams realitzades entre juliol de 2025 i febrer de 2026 i campanyes de lliurament de KongTuke observades entre febrer i març de 2026 que van utilitzar tècniques de ClickFix.
  • Càrregues de mostres de desenvolupament i proves en fase inicial.
  • Ús d'argot informal d'internet com ara "letsrollboyos", "totallyunsus" i "cuteuwu" en les convencions de nomenclatura d'artefactes de desenvolupament.
  • Implementació del miner de criptomonedes XMRig en un nombre limitat de sistemes infectats amb LegionRelay.

Aquests indicadors donen suport a una avaluació de confiança moderada que GREYVIBE té vincles significatius amb xarxes ciberdelinqüents i una avaluació de confiança baixa a moderada que alguns membres poden estar actualment, o haver estat anteriorment, involucrats en activitats de ciberdelinqüència.

Desdibuixant la línia entre les operacions estatals i criminals

La naturalesa precisa de la relació de GREYVIBE amb l'estat rus continua sent incerta. Existeixen diverses possibilitats, com ara la integració de personal ciberdelinqüent en una organització recolzada per l'estat, operadors independents que realitzin tasques dirigides per l'estat o la formació d'una estructura híbrida que combini elements criminals i afiliats a l'estat.

Com a resultat, GREYVIBE ocupa un espai complex entre la ciberdelinqüència tradicional i les operacions cibernètiques vinculades al govern. Aquesta superposició complica els esforços d'atribució i posa de manifest els límits cada cop més borrosos entre l'activitat ciberdelinqüent amb motivació financera i les operacions d'intel·ligència patrocinades per l'estat.

Tendència

El vostre client de correu electrònic de Microsoft...

Phishing, Correu brossa
Els correus electrònics "El vostre client de correu electrònic de Microsoft Outlook està obsolet" són missatges de suplantació d'identitat (phishing) creats per semblar notificacions de seguretat oficials de Microsoft Outlook. Els correus electrònics adverteixen els destinataris que el seu client de correu electrònic presumptament està obsolet i afirmen que si no s'actualitzen immediatament, es...

Més vist

Carregant...