عامل تهدید GREYVIBE

یک عامل تهدید که قبلاً ناشناخته بود و با نام GREYVIBE شناخته می‌شود، حداقل از آگوست 2025 با یک کمپین جاسوسی سایبری مداوم که اوکراین و سازمان‌های مرتبط با این کشور را هدف قرار داده است، مرتبط بوده است. تجزیه و تحلیل‌ها نشان می‌دهد که این گروه عمدتاً در منطقه زمانی روسیه فعالیت می‌کند و به زبان روسی ارتباط برقرار می‌کند. فعالیت‌های آن با منافع دولت روسیه، به ویژه تلاش‌های جمع‌آوری اطلاعات مربوط به درگیری جاری روسیه و اوکراین، همسو است.

GREYVIBE طیف گسترده‌ای از بخش‌ها، از جمله نهادهای نظامی، سازمان‌های دولتی، سازمان‌های غیرنظامی و مشاغل خصوصی را هدف قرار داده است. در حالی که عملیات این گروه ویژگی‌های مرتبط با فعالیت‌های دولتی را نشان می‌دهد، شواهد همچنین نشان می‌دهد که از طریق افرادی که گمان می‌رود بازیگران فعلی یا سابق جرایم سایبری باشند، با چشم‌انداز گسترده‌تر جرایم سایبری روسیه نیز ارتباط دارد.

روش‌های متنوع آلودگی و زرادخانه بدافزارهای سفارشی

این عامل تهدید از مکانیسم‌های مختلفی برای نفوذ به قربانیان استفاده می‌کند. این مکانیسم‌ها شامل کمپین‌های فیشینگ هدفمند، صفحات تأیید CAPTCHA فریبنده و وب‌سایت‌های جعلی سرگرمی بزرگسالان با تم اوکراینی می‌شود. GREYVIBE در سراسر عملیات خود، به طور مداوم به بدافزارها، لودرها و ابزارهای مبهم‌سازی توسعه‌یافته داخلی متکی است تا از شناسایی شدن جلوگیری کند و دسترسی به سیستم‌های آسیب‌دیده را حفظ کند.

چندین چارچوب حمله متمایز مشاهده شده است:

• PhantomMail از طریق ایمیل‌های فیشینگ هدفمند حاوی لینک‌هایی که در Google Drive و 4sync میزبانی می‌شوند، آرشیوهای مخرب ZIP و RAR را توزیع می‌کند. این آرشیوها شامل لودرهای جاوا اسکریپت هستند که اسناد جعلی را هنگام استقرار PhantomRelay، یک تروجان دسترسی از راه دور (RAT) مبتنی بر PowerShell که قادر به شناسایی سیستم و اجرای دستورات از راه دور است، اجرا می‌کنند.
• PhantomClick از صفحات CAPTCHA جعلی به سبک ClickFix که در دامنه‌هایی که سرویس‌هایی مانند Zoom و LAPAS را جعل هویت می‌کنند، میزبانی می‌شوند، استفاده می‌کند. قربانیان طوری دستکاری می‌شوند که دستوراتی را اجرا کنند که زنجیره آلودگی PhantomRelay را فعال می‌کند.
• PrincessClub از وب‌سایت‌های جعلی باشگاه بزرگسالان اوکراینی برای توزیع نرم‌افزار جاسوسی FallSpy در دستگاه‌های اندروید و PhantomRelayV1 یا LegionRelay در سیستم‌های ویندوز استفاده می‌کند. نسخه‌های بعدی این وب‌سایت‌ها قابلیت تماس زنده مبتنی بر WebRTC را برای ضبط صدا و تصویر قربانیان در خود جای داده‌اند. FallSpy قادر به جمع‌آوری اطلاعات حساس از دستگاه‌های اندروید آلوده است، در حالی که LegionRelay از کشف فایل، سرقت داده‌ها، ضبط اسکرین‌شات، استخراج اعتبارنامه مرورگر، جمع‌آوری داده‌های تلگرام و واتس‌اپ و پیکربندی پروتکل دسکتاپ از راه دور (RDP) پشتیبانی می‌کند. PhantomRelayV1 با اضافه کردن یک مکانیسم پایداری سفارشی watchdog، PhantomRelay اصلی را گسترش می‌دهد.
• DroneLink خود را به عنوان سازمان‌های خیریه حامی نیروهای مسلح اوکراین جا می‌زند و WireGuard را در کنار LegionRelay ارائه می‌دهد.
• Nebo یک نوع FallSpy را در قالب یک پورتال ورود به سیستم به زبان روسی پیاده‌سازی می‌کند که احتمالاً هدف آن فریب پرسنل نظامی اوکراینی و القای این باور به آنهاست که به یک سیستم نظامی مشروع روسی دسترسی دارند.

هوش مصنوعی به عنوان یک عامل افزایش دهنده قدرت

یکی از قابل توجه‌ترین جنبه‌های عملیات GREYVIBE، اتکای آشکار آن به هوش مصنوعی مولد و مدل‌های زبانی بزرگ برای افزایش قابلیت‌های تهاجمی است. شواهد نشان می‌دهد که این گروه از پلتفرم‌هایی مانند Ideogram AI، OpenAI ChatGPT و Google Gemini برای کمک به تولید تصویر، توسعه بدافزار، مبهم‌سازی اسکریپت، ایجاد زیرساخت‌های backend و عملیات پس از نفوذ استفاده کرده است.

این رویکرد مبتنی بر هوش مصنوعی مزایای عملیاتی متعددی را ارائه می‌دهد. این رویکرد به جبران شکاف‌های مهارت فنی کمک می‌کند، چرخه‌های توسعه را تسریع می‌کند و وابستگی به خانواده‌های بدافزار شناسایی‌شده قبلی و ابزارهایی را که می‌توانند انتساب را تسهیل کنند، کاهش می‌دهد.

استفاده روزافزون از هوش مصنوعی در عملیات سایبری، چالش مهمی را برای مدافعان ایجاد می‌کند. عاملان تهدید می‌توانند به سرعت اجزای مجموعه ابزارهای خود را تولید، اصلاح یا جایگزین کنند و اثربخشی روش‌های سنتی انتساب را که به شاخص‌های فنی پایدار و مصنوعات بدافزاری مکرر متکی هستند، کاهش دهند.

نقاط ضعف عملیاتی، شکاف‌های توسعه‌ای را آشکار می‌کنند

علیرغم بهره‌مندی از توسعه مبتنی بر هوش مصنوعی، GREYVIBE کاستی‌های امنیتی عملیاتی متعددی را نشان داده است. محققان نقص‌های طراحی را در LegionRelay شناسایی کردند که ناخواسته عملکرد backend را در معرض دید قرار می‌داد و بینشی در مورد عملیات داخلی بدافزار ارائه می‌داد.

چنین اشتباهاتی عموماً در بین بازیگران بسیار پیچیده تحت حمایت دولت غیرمعمول است، که نشان می‌دهد GREYVIBE ممکن است نمایانگر یک عملیات سنتی سرویس اطلاعاتی نباشد. در عوض، به نظر می‌رسد این گروه از پیچیدگی فنی کم تا متوسطی برخوردار است و در عین حال از فناوری‌های هوش مصنوعی برای افزایش قابلیت‌های فراتر از سطح مهارت ذاتی خود استفاده می‌کند.

شاخص‌های ارتباطات مجرمان سایبری

یافته‌های متعدد نشان می‌دهد که GREYVIBE پیوندهایی با اکوسیستم گسترده‌تر جرایم سایبری روسیه دارد:

• دسترسی یا استفاده از یک ابزار ساخت ISO مرتبط با ارتباطات مشکوک با باند TrickBot و UAC-0098.
• شناسایی انواع PhantomRelay در کمپین‌های مجرمان سایبری به ظاهر نامرتبط، از جمله عملیات فیشینگ صوتی Microsoft Teams که بین ژوئیه ۲۰۲۵ و فوریه ۲۰۲۶ انجام شده و کمپین‌های توزیع KongTuk که بین فوریه و مارس ۲۰۲۶ مشاهده شده‌اند و از تکنیک‌های ClickFix استفاده کرده‌اند.
• آپلود نمونه‌های توسعه و آزمایش در مراحل اولیه.
• استفاده از اصطلاحات عامیانه اینترنتی غیررسمی مانند «letsrollboyos»، «totallyunsus» و «cuteuwu» در قراردادهای نامگذاری مصنوعات در حال توسعه.

این شاخص‌ها از یک ارزیابی با اطمینان متوسط مبنی بر اینکه GREYVIBE ارتباطات معناداری با شبکه‌های جرایم سایبری دارد و یک ارزیابی با اطمینان کم تا متوسط مبنی بر اینکه برخی از اعضا ممکن است در حال حاضر یا قبلاً در فعالیت‌های جرایم سایبری دخیل باشند، پشتیبانی می‌کنند.

محو شدن مرز بین عملیات دولتی و جنایی

ماهیت دقیق رابطه GREYVIBE با دولت روسیه همچنان نامشخص است. چندین احتمال وجود دارد، از جمله ادغام پرسنل جرایم سایبری در یک سازمان تحت حمایت دولت، اپراتورهای مستقلی که وظایف تحت هدایت دولت را انجام می‌دهند، یا تشکیل یک ساختار ترکیبی که عناصر مجرمانه و وابسته به دولت را با هم ترکیب می‌کند.

در نتیجه، GREYVIBE فضای پیچیده‌ای بین جرایم سایبری سنتی و عملیات سایبری مرتبط با دولت را اشغال می‌کند. این همپوشانی، تلاش‌های انتساب را پیچیده می‌کند و مرزهای مبهم بین فعالیت مجرمان سایبری با انگیزه مالی و عملیات اطلاعاتی تحت حمایت دولت را برجسته می‌کند.