Rabattilbud med flere licenser
Trusseldatabase Advanced Persistent Threat (APT) GREYVIBE Trusselskuespiller

GREYVIBE Trusselskuespiller

Med Mezo i Advanced Persistent Threat (APT), Malware
Oversæt til:

En tidligere uidentificeret trusselsaktør kendt som GREYVIBE har været forbundet med en vedvarende cyberspionagekampagne rettet mod Ukraine og organisationer med tilknytning til landet siden mindst august 2025. Analyser tyder på, at gruppen primært opererer inden for den russiske tidszone og kommunikerer på russisk. Dens aktiviteter er tæt forbundet med russiske statsinteresser, især efterretningsindsamlingsindsatsen relateret til den igangværende russisk-ukrainske konflikt.

GREYVIBE har målrettet en bred vifte af sektorer, herunder militære institutioner, offentlige myndigheder, civile organisationer og private virksomheder. Selvom gruppens operationer udviser karakteristika forbundet med nationalstatslig aktivitet, tyder beviser også på forbindelser til det bredere russiske cyberkriminelle landskab gennem personer, der menes at være nuværende eller tidligere cyberkriminalitetsaktører.

Diverse infektionsmetoder og brugerdefineret malware-arsenal

Trusselsaktøren anvender en række forskellige leveringsmekanismer til at kompromittere ofre. Disse inkluderer meget målrettede spear-phishing-kampagner, vildledende CAPTCHA-verifikationssider og falske ukrainske hjemmesider for voksenunderholdning. På tværs af sine aktiviteter bruger GREYVIBE konsekvent internt udviklet malware, loaders og obfuskationsværktøjer for at undgå opdagelse og opretholde adgang til kompromitterede systemer.

Der er observeret adskillige forskellige angrebsrammer:

  • PhantomMail distribuerer ondsindede ZIP- og RAR-arkiver via spear-phishing-e-mails, der indeholder links, der er hostet på Google Drive og 4sync. Disse arkiver inkluderer JavaScript-loadere, der starter lokkedokumenter, mens de implementerer PhantomRelay, en PowerShell-baseret fjernadgangstrojan (RAT), der er i stand til systemrekognoscering og fjernkommandoudførelse.
  • PhantomClick udnytter falske CAPTCHA-sider i ClickFix-stil, der hostes på domæner, der udgiver sig for tjenester som Zoom og LAPAS. Ofrene manipuleres til at udføre kommandoer, der udløser PhantomRelay-infektionskæden.
  • PrincessClub bruger forfalskede ukrainske hjemmesider for voksne klubber til at distribuere FallSpy spyware på Android-enheder og enten PhantomRelayV1 eller LegionRelay på Windows-systemer. Senere versioner af disse hjemmesider inkorporerede WebRTC-baseret live-opkaldsfunktionalitet til at optage ofrenes lyd og video. FallSpy er i stand til at indsamle følsomme oplysninger fra inficerede Android-enheder, mens LegionRelay understøtter filopdagelse, datatyveri, skærmbilledeoptagelse, udtrækning af browseroplysninger, dataindsamling fra Telegram og WhatsApp og konfiguration af Remote Desktop Protocol (RDP). PhantomRelayV1 udvider det originale PhantomRelay ved at tilføje en brugerdefineret watchdog-vedholdenhedsmekanisme.
  • DroneLink udgiver sig for at være velgørende organisationer, der støtter Ukraines væbnede styrker, og leverer WireGuard sammen med LegionRelay.
  • Nebo implementerer en FallSpy-variant forklædt som en russisksproget loginportal, sandsynligvis beregnet til at narre ukrainsk militærpersonale til at tro, at de har adgang til et legitimt russisk militærsystem.

Kunstig intelligens som en kraftmultiplikator

Et af de mest bemærkelsesværdige aspekter ved GREYVIBEs aktiviteter er den tilsyneladende afhængighed af generativ kunstig intelligens og store sprogmodeller for at forbedre offensive muligheder. Der er beviser, der tyder på, at gruppen har brugt platforme som Ideogram AI, OpenAI ChatGPT og Google Gemini til at hjælpe med billedgenerering, malwareudvikling, script-forvirring, oprettelse af backend-infrastruktur og operationer efter kompromittering.

Denne AI-assisterede tilgang tilbyder adskillige operationelle fordele. Den hjælper med at kompensere for tekniske færdighedshuller, fremskynder udviklingscyklusser og reducerer afhængigheden af tidligere identificerede malwarefamilier og -værktøjer, der kan fremme tilskrivning.

Den stigende brug af AI inden for cyberoperationer udgør en betydelig udfordring for forsvarere. Trusselaktører kan hurtigt generere, ændre eller udskifte komponenter i deres værktøjssæt, hvilket reducerer effektiviteten af traditionelle attributionsmetoder, der er afhængige af stabile tekniske indikatorer og tilbagevendende malware-artefakter.

Operationelle svagheder afslører udviklingshuller

Selvom GREYVIBE har haft gavn af AI-assisteret udvikling, har det udvist adskillige mangler i forbindelse med operationel sikkerhed. Forskere har identificeret designfejl i LegionRelay, der utilsigtet har afsløret backend-funktionalitet og givet indsigt i malwarens interne operationer.

Sådanne fejl er generelt sjældne blandt meget sofistikerede, statsstøttede aktører, hvilket tyder på, at GREYVIBE muligvis ikke repræsenterer en traditionel efterretningstjenesteoperation. I stedet synes gruppen at besidde lav til moderat teknisk sofistikering, samtidig med at den udnytter AI-teknologier til at forbedre sine evner ud over sit iboende færdighedsniveau.

Indikatorer for cyberkriminelle forbindelser

Flere fund tyder på, at GREYVIBE har forbindelser til det bredere russiske cyberkriminalitetsøkosystem:

  • Adgang til eller brug af et ISO-opbygningsværktøj forbundet med formodede forbindelser til TrickBot-banden og UAC-0098.
  • Detektion af PhantomRelay-varianter i tilsyneladende uafhængige cyberkriminelle kampagner, herunder Microsoft Teams-stemmephishing-operationer udført mellem juli 2025 og februar 2026 og KongTuke-leveringskampagner observeret mellem februar og marts 2026, der anvendte ClickFix-teknikker.
  • Uploads af eksempler på tidlig udvikling og test.
  • Brug af uformelt internetslang såsom 'letsrollboyos', 'totallyunsus' og 'cuteuwu' i navngivningskonventioner for udviklingsartefakter.
  • Implementering af XMRig-kryptovalutamineren på et begrænset antal systemer inficeret med LegionRelay.

Disse indikatorer understøtter en moderat vurdering af, at GREYVIBE har betydelige forbindelser til cyberkriminelle netværk, og en lav til moderat vurdering af, at nogle medlemmer i øjeblikket kan være, eller tidligere har været, involveret i cyberkriminalitet.

Udvisker grænsen mellem statslige og kriminelle operationer

Den præcise karakter af GREYVIBEs forhold til den russiske stat er fortsat usikker. Der findes flere muligheder, herunder integration af cyberkriminelt personale i en statsstøttet organisation, uafhængige operatører, der udfører statsstyrede opgaver, eller dannelsen af en hybridstruktur, der kombinerer kriminelle og statstilknyttede elementer.

Som følge heraf optager GREYVIBE et komplekst område mellem traditionel cyberkriminalitet og regeringsrelaterede cyberoperationer. Denne overlapning komplicerer tilskrivningsbestræbelserne og fremhæver de stadig mere slørede grænser mellem økonomisk motiveret cyberkriminel aktivitet og statsstøttede efterretningsoperationer.

Trending

Mest sete

Indlæser...