GREYVIBE Threat Actor

גורם איום לא מזוהה בעבר, המכונה GREYVIBE, נקשר לקמפיין ריגול סייבר מתמשך המכוון לאוקראינה ולארגונים הקשורים למדינה מאז אוגוסט 2025 לפחות. ניתוח מצביע על כך שהקבוצה פועלת בעיקר באזור הזמן הרוסי ומתקשרת ברוסית. פעילותה תואמת קשר הדוק לאינטרסים של המדינה הרוסית, ובמיוחד למאמצי איסוף מודיעין הקשורים לסכסוך הרוסי-אוקראיני המתמשך.

GREYVIBE פנתה למגוון רחב של מגזרים, כולל מוסדות צבאיים, סוכנויות ממשלתיות, ארגונים אזרחיים ועסקים פרטיים. בעוד שפעילות הקבוצה מציגה מאפיינים הקשורים לפעילות של מדינת לאום, ראיות מצביעות גם על קשרים לנוף הפושעים הקיברנטיים הרוסי הרחב יותר באמצעות אנשים הנחשבים לשחקני פשעי סייבר נוכחיים או לשעבר.

שיטות הדבקה מגוונות וארסנל תוכנות זדוניות מותאמות אישית

גורם האיום משתמש במגוון מנגנוני אספקה כדי לפגוע בקורבנות. אלה כוללים קמפיינים ממוקדים של "פישינג ספיר", דפי אימות CAPTCHA מטעים ואתרי בידור למבוגרים הונאה בנושא אוקראיני. בכל פעילותה, GREYVIBE מסתמכת באופן עקבי על תוכנות זדוניות, טוענים וכלי ערפול שפותחו באופן פנימי כדי להתחמק מגילוי ולשמור על גישה למערכות שנפרצו.

נצפו מספר מסגרות התקפה שונות:

• PhantomMail מפיצה ארכיוני ZIP ו-RAR זדוניים באמצעות הודעות דוא"ל מסוג spear-phishing המכילות קישורים המאוחסנים ב-Google Drive וב-4sync. ארכיונים אלה כוללים טועני JavaScript שמשגרים מסמכי פיתיון תוך כדי פריסת PhantomRelay, סוס טרויאני לגישה מרחוק (RAT) מבוסס PowerShell המסוגל לבצע סיור מערכות ולבצע פקודות מרחוק.
• PhantomClick מנצלת דפי CAPTCHA מזויפים בסגנון ClickFix המאוחסנים בדומיינים המתחזים לשירותים כמו Zoom ו-LAPAS. הקורבנות עוברים מניפולציה לבצע פקודות שמפעילות את שרשרת ההדבקה של PhantomRelay.
• PrincessClub משתמשת באתרי אינטרנט מזויפים של מועדוני מבוגרים באוקראינה כדי להפיץ תוכנות ריגול FallSpy במכשירי אנדרואיד וב-PhantomRelayV1 או LegionRelay במערכות Windows. גרסאות מאוחרות יותר של אתרים אלה שילבו פונקציונליות של שיחות חיות מבוססות WebRTC כדי ללכוד אודיו ווידאו של הקורבנות. FallSpy מסוגל לאסוף מידע רגיש ממכשירי אנדרואיד נגועים, בעוד LegionRelay תומך בגילוי קבצים, גניבת נתונים, צילום מסך, חילוץ אישורי דפדפן, איסוף נתונים מטלגרם ו-WhatsApp, ותצורת פרוטוקול שולחן עבודה מרוחק (RDP). PhantomRelayV1 מרחיב את PhantomRelay המקורי על ידי הוספת מנגנון שמירה מותאם אישית.
• DroneLink מתחזה לארגוני צדקה התומכים בכוחות המזוינים של אוקראינה ומספקת את WireGuard לצד LegionRelay.
• נבו פורסת גרסת FallSpy במסווה של פורטל כניסה בשפה הרוסית, ככל הנראה במטרה להטעות אנשי צבא אוקראינים ולגרום להם להאמין שהם ניגשים למערכת צבאית רוסית לגיטימית.

בינה מלאכותית כמכפיל כוח

אחד ההיבטים הבולטים ביותר של פעילותה של GREYVIBE הוא הסתמכותה לכאורה על בינה מלאכותית גנרטבית ומודלים של שפות גדולות כדי לשפר יכולות התקפיות. עדויות מצביעות על כך שהקבוצה השתמשה בפלטפורמות כמו Ideogram AI, OpenAI ChatGPT ו-Google Gemini כדי לסייע ביצירת תמונות, פיתוח תוכנות זדוניות, ערפול סקריפטים, יצירת תשתית backend ופעולות לאחר פגיעה.

גישה זו, המסייעת בבינה מלאכותית, מציעה מספר יתרונות תפעוליים. היא מסייעת לפצות על פערים במיומנויות טכניות, מאיצה מחזורי פיתוח ומפחיתה את התלות במשפחות וכלים של תוכנות זדוניות שזוהו בעבר, אשר עלולים להקל על ייחוס.

השימוש הגובר בבינה מלאכותית במסגרת פעולות סייבר מציב אתגר משמעותי בפני מגיני סייבר. גורמי איום יכולים ליצור, לשנות או להחליף במהירות רכיבים מערכי הכלים שלהם, ובכך להפחית את יעילותן של שיטות ייחוס מסורתיות המסתמכות על אינדיקטורים טכניים יציבים וחפצי תוכנה זדונית חוזרים.

חולשות תפעוליות חושפות פערים בפיתוח

למרות שהפיק תועלת מפיתוח בסיוע בינה מלאכותית, GREYVIBE הפגינה מספר ליקויים באבטחה תפעולית. חוקרים זיהו פגמי עיצוב בתוך LegionRelay שחשפו בטעות פונקציונליות של ה-backend, וסיפקו תובנות לגבי הפעילות הפנימית של הנוזקה.

טעויות כאלה הן בדרך כלל נדירות בקרב גורמים מתוחכמים מאוד בחסות המדינה, דבר המצביע על כך ש-GREYVIBE עשוי לא לייצג מבצע מסורתי של שירות מודיעין. במקום זאת, נראה כי לקבוצה יש תחכום טכני נמוך עד בינוני, תוך מינוף טכנולוגיות בינה מלאכותית כדי לשפר יכולות מעבר לרמת המיומנות הטבועה בה.

אינדיקטורים של קשרים עם פושעי סייבר

ממצאים מרובים מצביעים על כך ש-GREYVIBE מקיימת קשרים למערכת האקולוגית הרחבה יותר של פשעי סייבר ברוסיה:

• גישה או שימוש בכלי לבניית ISO הקשור לקשרים חשודים לכנופיית TrickBot ו-UAC-0098.
• זיהוי של גרסאות של PhantomRelay בתוך קמפיינים של פושעי סייבר שנראים לא קשורים, כולל פעולות פישינג קולי של Microsoft Teams שבוצעו בין יולי 2025 לפברואר 2026 וקמפיינים של משלוחים של KongTuke שנצפו בין פברואר למרץ 2026 שהשתמשו בטכניקות ClickFix.
• העלאות של דוגמאות פיתוח ובדיקה בשלבים מוקדמים.
• שימוש בסלנג אינטרנטי לא פורמלי כגון 'letsrollboyos', 'totallyunsus' ו-'cuteuwu' במוסכמות למתן שמות לחפצי פיתוח.
• פריסת כורה מטבעות קריפטוגרפיים XMRig על מספר מוגבל של מערכות שנדבקו ב-LegionRelay.

אינדיקטורים אלה תומכים בהערכת ביטחון בינונית לפיה ל-GREYVIBE קשרים משמעותיים לרשתות פושעי סייבר, ובהערכת ביטחון נמוכה עד בינונית לפיה חלק מהחברים עשויים להיות מעורבים כעת, או היו מעורבים בעבר, בפעילויות פשעי סייבר.

טשטוש הגבול בין פעילות המדינה לבין פעילות פלילית

האופי המדויק של מערכת היחסים של GREYVIBE עם המדינה הרוסית נותר לא ברור. קיימות מספר אפשרויות, כולל שילוב של אנשי פושעי סייבר בארגון הנתמך על ידי המדינה, מפעילים עצמאיים המבצעים משימות המוכוונות על ידי המדינה, או הקמת מבנה היברידי המשלב גורמים פליליים וגורמים הקשורים למדינה.

כתוצאה מכך, GREYVIBE תופסת מרחב מורכב בין פשיעת סייבר מסורתית לבין פעולות סייבר המקושרות לממשלה. חפיפה זו מסבכת את מאמצי הייחוס ומדגישה את הגבולות המטושטשים ההולכים וגדלים בין פעילות פושעת סייבר המונעת כלכלית לבין פעולות מודיעין בחסות המדינה.