GREYVIBE Ηθοποιός Απειλής

Ένας προηγουμένως άγνωστος απειλητικός φορέας, γνωστός ως GREYVIBE, έχει συνδεθεί με μια συνεχή εκστρατεία κυβερνοκατασκοπείας που στοχεύει την Ουκρανία και οργανισμούς που συνδέονται με τη χώρα τουλάχιστον από τον Αύγουστο του 2025. Η ανάλυση υποδηλώνει ότι η ομάδα λειτουργεί κυρίως εντός της ρωσικής ζώνης ώρας και επικοινωνεί στα ρωσικά. Οι δραστηριότητές της ευθυγραμμίζονται στενά με τα συμφέροντα του ρωσικού κράτους, ιδίως τις προσπάθειες συλλογής πληροφοριών που σχετίζονται με τη συνεχιζόμενη ρωσο-ουκρανική σύγκρουση.

Η GREYVIBE έχει στοχεύσει ένα ευρύ φάσμα τομέων, συμπεριλαμβανομένων στρατιωτικών ιδρυμάτων, κυβερνητικών υπηρεσιών, πολιτικών οργανισμών και ιδιωτικών επιχειρήσεων. Ενώ οι δραστηριότητες της ομάδας εμφανίζουν χαρακτηριστικά που σχετίζονται με τη δραστηριότητα εθνικού κράτους, τα στοιχεία δείχνουν επίσης συνδέσεις με το ευρύτερο ρωσικό τοπίο του κυβερνοεγκλήματος μέσω ατόμων που πιστεύεται ότι είναι νυν ή πρώην δράστες του κυβερνοεγκλήματος.

Διάφορες μέθοδοι μόλυνσης και προσαρμοσμένο οπλοστάσιο κακόβουλου λογισμικού

Ο απειλητικός παράγοντας χρησιμοποιεί μια ποικιλία μηχανισμών παράδοσης για να παραβιάσει τα θύματα. Σε αυτούς περιλαμβάνονται στοχευμένες καμπάνιες spear-phishing, παραπλανητικές σελίδες επαλήθευσης CAPTCHA και δόλιες ιστοσελίδες ψυχαγωγίας ενηλίκων με ουκρανικό θέμα. Σε όλες τις δραστηριότητές της, η GREYVIBE βασίζεται σταθερά σε εσωτερικά ανεπτυγμένο κακόβουλο λογισμικό, προγράμματα φόρτωσης και εργαλεία απόκρυψης για να αποφύγει την ανίχνευση και να διατηρήσει την πρόσβαση σε παραβιασμένα συστήματα.

Έχουν παρατηρηθεί αρκετά ξεχωριστά πλαίσια επίθεσης:

• Το PhantomMail διανέμει κακόβουλα αρχεία ZIP και RAR μέσω email spear-phishing που περιέχουν συνδέσμους που φιλοξενούνται στο Google Drive και το 4sync. Αυτά τα αρχεία περιλαμβάνουν φορτωτές JavaScript που εκκινούν έγγραφα-παραπλανητικά έγγραφα κατά την ανάπτυξη του PhantomRelay, ενός trojan απομακρυσμένης πρόσβασης (RAT) που βασίζεται στο PowerShell και είναι ικανό για αναγνώριση συστήματος και εκτέλεση εντολών από απόσταση.
• Το PhantomClick αξιοποιεί ψεύτικες σελίδες CAPTCHA τύπου ClickFix που φιλοξενούνται σε τομείς που μιμούνται υπηρεσίες όπως το Zoom και το LAPAS. Τα θύματα χειραγωγούνται ώστε να εκτελούν εντολές που ενεργοποιούν την αλυσίδα μόλυνσης PhantomRelay.
• Το PrincessClub χρησιμοποιεί πλαστές ουκρανικές ιστοσελίδες ενηλίκων για τη διανομή spyware FallSpy σε συσκευές Android και είτε PhantomRelayV1 είτε LegionRelay σε συστήματα Windows. Οι νεότερες εκδόσεις αυτών των ιστότοπων ενσωμάτωσαν λειτουργικότητα ζωντανής κλήσης που βασίζεται στο WebRTC για την καταγραφή ήχου και βίντεο των θυμάτων. Το FallSpy είναι ικανό να συλλέγει ευαίσθητες πληροφορίες από μολυσμένες συσκευές Android, ενώ το LegionRelay υποστηρίζει την ανακάλυψη αρχείων, την κλοπή δεδομένων, τη λήψη στιγμιότυπων οθόνης, την εξαγωγή διαπιστευτηρίων προγράμματος περιήγησης, τη συλλογή δεδομένων Telegram και WhatsApp και τη διαμόρφωση πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP). Το PhantomRelayV1 επεκτείνει το αρχικό PhantomRelay προσθέτοντας έναν προσαρμοσμένο μηχανισμό διατήρησης watchdog.
• Το DroneLink μεταμφιέζεται σε φιλανθρωπικό οργανισμό που υποστηρίζει τις Ένοπλες Δυνάμεις της Ουκρανίας και παρέχει το WireGuard παράλληλα με το LegionRelay.
• Το Nebo αναπτύσσει μια παραλλαγή του FallSpy μεταμφιεσμένη σε πύλη σύνδεσης στη ρωσική γλώσσα, με πιθανώς σκοπό να εξαπατήσει το ουκρανικό στρατιωτικό προσωπικό ώστε να πιστέψει ότι έχει πρόσβαση σε ένα νόμιμο ρωσικό στρατιωτικό σύστημα.

Η Τεχνητή Νοημοσύνη ως Πολλαπλασιαστής Δύναμης

Μία από τις πιο αξιοσημείωτες πτυχές των δραστηριοτήτων της GREYVIBE είναι η προφανής εξάρτησή της από την παραγωγική τεχνητή νοημοσύνη και τα μεγάλα γλωσσικά μοντέλα για την ενίσχυση των επιθετικών δυνατοτήτων. Τα στοιχεία δείχνουν ότι η ομάδα έχει χρησιμοποιήσει πλατφόρμες όπως το Ideogram AI, το OpenAI ChatGPT και το Google Gemini για να βοηθήσει στη δημιουργία εικόνων, την ανάπτυξη κακόβουλου λογισμικού, την απόκρυψη σεναρίων, τη δημιουργία υποδομής backend και τις λειτουργίες μετά την παραβίαση.

Αυτή η προσέγγιση με τη βοήθεια της Τεχνητής Νοημοσύνης προσφέρει πολλά λειτουργικά πλεονεκτήματα. Βοηθά στην αντιστάθμιση των κενών σε τεχνικές δεξιότητες, επιταχύνει τους κύκλους ανάπτυξης και μειώνει την εξάρτηση από προηγουμένως εντοπισμένες οικογένειες κακόβουλου λογισμικού και εργαλεία που θα μπορούσαν να διευκολύνουν την απόδοση.

Η αυξανόμενη χρήση της Τεχνητής Νοημοσύνης (ΤΝ) στις κυβερνοεπιχειρήσεις αποτελεί σημαντική πρόκληση για τους υπερασπιστές. Οι απειλητικοί παράγοντες μπορούν να δημιουργήσουν, να τροποποιήσουν ή να αντικαταστήσουν γρήγορα στοιχεία των εργαλείων τους, μειώνοντας την αποτελεσματικότητα των παραδοσιακών μεθόδων απόδοσης που βασίζονται σε σταθερούς τεχνικούς δείκτες και επαναλαμβανόμενα αντικείμενα κακόβουλου λογισμικού.

Οι λειτουργικές αδυναμίες αποκαλύπτουν κενά ανάπτυξης

Παρά το γεγονός ότι επωφελείται από την ανάπτυξη με τη βοήθεια της τεχνητής νοημοσύνης, το GREYVIBE έχει επιδείξει πολλαπλές ελλείψεις στην επιχειρησιακή ασφάλεια. Οι ερευνητές εντόπισαν ελαττώματα σχεδιασμού στο LegionRelay που εξέθεταν ακούσια τη λειτουργικότητα του backend, παρέχοντας πληροφορίες για τις εσωτερικές λειτουργίες του κακόβουλου λογισμικού.

Τέτοια λάθη είναι γενικά ασυνήθιστα μεταξύ εξαιρετικά εξελιγμένων κρατικά χρηματοδοτούμενων φορέων, γεγονός που υποδηλώνει ότι η GREYVIBE μπορεί να μην αντιπροσωπεύει μια παραδοσιακή επιχείρηση υπηρεσιών πληροφοριών. Αντίθετα, η ομάδα φαίνεται να διαθέτει χαμηλή έως μέτρια τεχνική πολυπλοκότητα, ενώ αξιοποιεί τεχνολογίες τεχνητής νοημοσύνης για να ενισχύσει τις δυνατότητές της πέρα από το εγγενές επίπεδο δεξιοτήτων της.

Δείκτες διασυνδέσεων με κυβερνοεγκληματίες

Πολλαπλά ευρήματα υποδηλώνουν ότι η GREYVIBE διατηρεί δεσμούς με το ευρύτερο ρωσικό οικοσύστημα κυβερνοεγκλήματος:

• Πρόσβαση ή χρήση βοηθητικού προγράμματος δημιουργίας ISO που σχετίζεται με ύποπτους δεσμούς με τη συμμορία TrickBot και το UAC-0098.
• Εντοπισμός παραλλαγών PhantomRelay σε φαινομενικά άσχετες κυβερνοεγκληματικές καμπάνιες, συμπεριλαμβανομένων των επιχειρήσεων φωνητικού ηλεκτρονικού ψαρέματος (phishing) του Microsoft Teams που πραγματοποιήθηκαν μεταξύ Ιουλίου 2025 και Φεβρουαρίου 2026 και των καμπανιών παράδοσης KongTuke που παρατηρήθηκαν μεταξύ Φεβρουαρίου και Μαρτίου 2026 και οι οποίες χρησιμοποίησαν τεχνικές ClickFix.
• Μεταφορτώσεις δειγμάτων ανάπτυξης και δοκιμών σε πρώιμο στάδιο.
• Χρήση άτυπης διαδικτυακής αργκό όπως «letsrollboyos», «totallyunsus» και «cuteuwu» στις συμβάσεις ονομασίας τεχνουργημάτων ανάπτυξης.
• Ανάπτυξη του εξορύκτη κρυπτονομισμάτων XMRig σε περιορισμένο αριθμό συστημάτων που έχουν μολυνθεί με το LegionRelay.

Αυτοί οι δείκτες υποστηρίζουν μια μέτρια αξιολόγηση εμπιστοσύνης ότι η GREYVIBE έχει ουσιαστικούς δεσμούς με δίκτυα κυβερνοεγκλημάτων και μια χαμηλή έως μέτρια αξιολόγηση εμπιστοσύνης ότι ορισμένα μέλη ενδέχεται να εμπλέκονται επί του παρόντος ή στο παρελθόν σε δραστηριότητες κυβερνοεγκλήματος.

Θολώνοντας τα όρια μεταξύ κρατικών και εγκληματικών επιχειρήσεων

Η ακριβής φύση της σχέσης της GREYVIBE με το ρωσικό κράτος παραμένει αβέβαιη. Υπάρχουν αρκετές πιθανότητες, όπως η ενσωμάτωση προσωπικού εγκληματικότητας στον κυβερνοχώρο σε έναν κρατικά υποστηριζόμενο οργανισμό, ανεξάρτητοι φορείς που εκτελούν κρατικά κατευθυνόμενα καθήκοντα ή ο σχηματισμός μιας υβριδικής δομής που συνδυάζει εγκληματικά και κρατικά στοιχεία.

Ως αποτέλεσμα, το GREYVIBE καταλαμβάνει έναν πολύπλοκο χώρο μεταξύ του παραδοσιακού κυβερνοεγκλήματος και των κυβερνοεπιχειρήσεων που συνδέονται με την κυβέρνηση. Αυτή η επικάλυψη περιπλέκει τις προσπάθειες απόδοσης ευθυνών και υπογραμμίζει τα ολοένα και πιο θολά όρια μεταξύ της οικονομικά υποκινούμενης κυβερνοεγκληματικής δραστηριότητας και των κρατικά χρηματοδοτούμενων επιχειρήσεων πληροφοριών.