ग्रेवाइब थ्रेट एक्टर

GREYVIBE नामक एक अज्ञात साइबर समूह अगस्त 2025 से यूक्रेन और उससे जुड़े संगठनों को निशाना बनाकर चल रहे एक व्यापक साइबर जासूसी अभियान से जुड़ा हुआ है। विश्लेषण से पता चलता है कि यह समूह मुख्य रूप से रूसी समय क्षेत्र में काम करता है और रूसी भाषा में संवाद करता है। इसकी गतिविधियाँ रूसी राज्य के हितों, विशेष रूप से रूस-यूक्रेन संघर्ष से संबंधित खुफिया जानकारी जुटाने के प्रयासों के अनुरूप हैं।

GREYVIBE ने सैन्य संस्थानों, सरकारी एजेंसियों, नागरिक संगठनों और निजी व्यवसायों सहित कई क्षेत्रों को निशाना बनाया है। हालांकि समूह की गतिविधियों में राष्ट्र-राज्य गतिविधि से जुड़े लक्षण दिखाई देते हैं, लेकिन साक्ष्य यह भी संकेत देते हैं कि वर्तमान या पूर्व साइबर अपराध में शामिल व्यक्तियों के माध्यम से व्यापक रूसी साइबर अपराध जगत से भी इसके संबंध हैं।

संक्रमण के विविध तरीके और कस्टम मैलवेयर शस्त्रागार

हमलावर पीड़ितों को निशाना बनाने के लिए कई तरह के तरीकों का इस्तेमाल करते हैं। इनमें लक्षित स्पियर-फ़िशिंग अभियान, धोखे वाले कैप्चा सत्यापन पृष्ठ और यूक्रेन-थीम वाली फर्जी वयस्क मनोरंजन वेबसाइटें शामिल हैं। अपने पूरे ऑपरेशन में, GREYVIBE लगातार आंतरिक रूप से विकसित मैलवेयर, लोडर और ऑबफस्केशन टूल पर निर्भर रहता है ताकि पहचान से बच सके और प्रभावित सिस्टम तक पहुंच बनाए रख सके।

कई अलग-अलग प्रकार के आक्रमण तंत्र देखे गए हैं:

• फैंटममेल, गूगल ड्राइव और 4सिंक पर होस्ट किए गए लिंक वाले स्पीयर-फिशिंग ईमेल के माध्यम से दुर्भावनापूर्ण ज़िप और आरएआर आर्काइव वितरित करता है। इन आर्काइव में जावास्क्रिप्ट लोडर शामिल होते हैं जो नकली दस्तावेज़ों को लॉन्च करते हैं, साथ ही फैंटम रिले को भी तैनात करते हैं, जो पॉवरशेल-आधारित रिमोट एक्सेस ट्रोजन (आरएटी) है और सिस्टम की जासूसी करने और दूरस्थ कमांड निष्पादन में सक्षम है।
• फैंटमक्लिक, ज़ूम और लापास जैसी सेवाओं का रूप धारण करने वाले डोमेन पर होस्ट किए गए क्लिकफिक्स-शैली के नकली कैप्चा पृष्ठों का उपयोग करता है। पीड़ितों को ऐसे कमांड निष्पादित करने के लिए बरगलाया जाता है जो फैंटम रिले संक्रमण श्रृंखला को सक्रिय करते हैं।
• PrincessClub नकली यूक्रेनी एडल्ट-क्लब वेबसाइटों का उपयोग करके Android डिवाइसों पर FallSpy स्पाइवेयर और Windows सिस्टम पर PhantomRelayV1 या LegionRelay वितरित करता है। इन वेबसाइटों के बाद के संस्करणों में पीड़ितों के ऑडियो और वीडियो को कैप्चर करने के लिए WebRTC-आधारित लाइव-कॉल कार्यक्षमता शामिल की गई थी। FallSpy संक्रमित Android डिवाइसों से संवेदनशील जानकारी एकत्र करने में सक्षम है, जबकि LegionRelay फ़ाइल खोज, डेटा चोरी, स्क्रीनशॉट कैप्चर, ब्राउज़र क्रेडेंशियल एक्सट्रैक्शन, Telegram और WhatsApp डेटा संग्रह और रिमोट डेस्कटॉप प्रोटोकॉल (RDP) कॉन्फ़िगरेशन का समर्थन करता है। PhantomRelayV1 मूल PhantomRelay का विस्तार है जिसमें एक कस्टम वॉचडॉग परसिस्टेंस तंत्र जोड़ा गया है।
• ड्रोनलिंक यूक्रेन के सशस्त्र बलों का समर्थन करने वाले धर्मार्थ संगठनों के रूप में खुद को प्रस्तुत करता है और लेगियन रिले के साथ वायरगार्ड की सेवाएं प्रदान करता है।
• नेबो ने फॉलस्पाई के एक ऐसे संस्करण को तैनात किया है जो रूसी भाषा के लॉगिन पोर्टल के रूप में छिपा हुआ है, जिसका उद्देश्य संभवतः यूक्रेनी सैन्य कर्मियों को यह विश्वास दिलाना है कि वे एक वैध रूसी सैन्य प्रणाली तक पहुंच रहे हैं।

कृत्रिम बुद्धिमत्ता एक बल गुणक के रूप में

GREYVIBE के संचालन का एक सबसे उल्लेखनीय पहलू जनरेटिव आर्टिफिशियल इंटेलिजेंस और बड़े भाषा मॉडल पर इसकी स्पष्ट निर्भरता है, जिसका उपयोग यह अपनी आक्रमण क्षमताओं को बढ़ाने के लिए करता है। साक्ष्य बताते हैं कि समूह ने इमेज जनरेशन, मैलवेयर डेवलपमेंट, स्क्रिप्ट ऑबफस्केशन, बैकएंड इंफ्रास्ट्रक्चर निर्माण और पोस्ट-कॉम्प्रोमाइज़ ऑपरेशंस में सहायता के लिए आइडियोग्राम एआई, ओपनएआई चैटजीपीटी और गूगल जेमिनी जैसे प्लेटफॉर्म का उपयोग किया है।

कृत्रिम बुद्धिमत्ता पर आधारित यह दृष्टिकोण कई परिचालन संबंधी लाभ प्रदान करता है। यह तकनीकी कौशल की कमियों को दूर करने में मदद करता है, विकास चक्र को गति देता है, और पहले से पहचाने गए मैलवेयर परिवारों और उन उपकरणों पर निर्भरता को कम करता है जो पहचान में सहायक हो सकते हैं।

साइबर ऑपरेशनों में एआई के बढ़ते उपयोग से सुरक्षाकर्मियों के लिए एक महत्वपूर्ण चुनौती खड़ी हो गई है। हमलावर अपने टूलसेट के घटकों को तेजी से उत्पन्न, संशोधित या प्रतिस्थापित कर सकते हैं, जिससे स्थिर तकनीकी संकेतकों और बार-बार सामने आने वाले मैलवेयर आर्टिफैक्ट्स पर निर्भर पारंपरिक पहचान विधियों की प्रभावशीलता कम हो जाती है।

परिचालन संबंधी कमजोरियाँ विकास संबंधी कमियों को उजागर करती हैं

कृत्रिम बुद्धिमत्ता की सहायता से किए गए विकास से लाभान्वित होने के बावजूद, GREYVIBE ने कई परिचालन सुरक्षा कमियाँ प्रदर्शित की हैं। शोधकर्ताओं ने LegionRelay में डिज़ाइन संबंधी खामियों की पहचान की, जिससे अनजाने में बैकएंड कार्यक्षमता उजागर हो गई और मैलवेयर के आंतरिक संचालन की जानकारी प्राप्त हुई।

इस तरह की गलतियाँ आम तौर पर उच्च कोटि के परिष्कृत सरकारी संगठनों में कम ही देखने को मिलती हैं, जिससे यह संकेत मिलता है कि GREYVIBE एक पारंपरिक खुफिया सेवा अभियान का प्रतिनिधित्व नहीं करता है। इसके बजाय, यह समूह तकनीकी रूप से कम से मध्यम स्तर का है और साथ ही साथ अपनी अंतर्निहित कौशल क्षमता से परे क्षमताओं को बढ़ाने के लिए AI तकनीकों का उपयोग करता प्रतीत होता है।

साइबर अपराधियों से संबंधों के संकेतक

कई निष्कर्षों से पता चलता है कि GREYVIBE व्यापक रूसी साइबर अपराध तंत्र से जुड़ा हुआ है:

• ट्रिकबॉट गिरोह और यूएसी-0098 से संदिग्ध संबंधों से जुड़ी आईएसओ-बिल्डिंग यूटिलिटी तक पहुंच या उसका उपयोग।
• 2025 जुलाई और 2026 फरवरी के बीच संचालित माइक्रोसॉफ्ट टीम्स वॉयस-फिशिंग ऑपरेशनों और 2026 फरवरी और 2026 मार्च के बीच देखे गए कोंगटुक डिलीवरी कैंपेनों सहित, जो क्लिकफिक्स तकनीकों का उपयोग करते थे, प्रतीत होने वाले असंबंधित साइबर आपराधिक अभियानों के भीतर फैंटम रिले वेरिएंट का पता लगाना।
• प्रारंभिक चरण के विकास और परीक्षण नमूनों के अपलोड।
• विकास संबंधी कलाकृतियों के नामकरण में 'letsrollboyos,' 'totallyunsus,' और 'cuteuwu' जैसे अनौपचारिक इंटरनेट बोलचाल के शब्दों का उपयोग।

ये संकेतक इस बात का समर्थन करते हैं कि GREYVIBE के साइबर अपराध नेटवर्क से महत्वपूर्ण संबंध हैं और इस बात का भी समर्थन करते हैं कि इसके कुछ सदस्य वर्तमान में या पहले साइबर अपराध गतिविधियों में शामिल हो सकते हैं।

राज्य और आपराधिक गतिविधियों के बीच की रेखा धुंधली होती जा रही है

रूसी सरकार के साथ GREYVIBE के संबंधों की सटीक प्रकृति अभी भी अनिश्चित है। कई संभावनाएं मौजूद हैं, जिनमें साइबर अपराध कर्मियों का राज्य समर्थित संगठन में एकीकरण, राज्य द्वारा निर्देशित कार्यों को अंजाम देने वाले स्वतंत्र ऑपरेटर, या आपराधिक और राज्य से संबद्ध तत्वों को मिलाकर एक संकर संरचना का गठन शामिल है।

परिणामस्वरूप, ग्रेवाइब पारंपरिक साइबर अपराध और सरकार से जुड़े साइबर अभियानों के बीच एक जटिल स्थान रखता है। यह ओवरलैप पहचान के प्रयासों को जटिल बनाता है और वित्तीय रूप से प्रेरित साइबर आपराधिक गतिविधि और राज्य-प्रायोजित खुफिया अभियानों के बीच तेजी से धुंधली होती सीमाओं को उजागर करता है।