Preventivo sconto multi-licenza
Database delle minacce Minaccia persistente avanzata (APT) Attore della minaccia GREYVIBE

Attore della minaccia GREYVIBE

Entro Mezo nel Minaccia persistente avanzata (APT), Malware
Traduci in:

Un gruppo di hacker precedentemente non identificato, noto come GREYVIBE, è stato collegato a una campagna di spionaggio informatico su vasta scala, che prende di mira l'Ucraina e le organizzazioni ad essa collegate, almeno dall'agosto 2025. Le analisi suggeriscono che il gruppo operi principalmente nel fuso orario russo e comunichi in russo. Le sue attività sono strettamente allineate con gli interessi dello Stato russo, in particolare con le attività di raccolta di informazioni relative al conflitto russo-ucraino in corso.

GREYVIBE ha preso di mira un'ampia gamma di settori, tra cui istituzioni militari, agenzie governative, organizzazioni civili e imprese private. Sebbene le operazioni del gruppo presentino caratteristiche associate ad attività di stati nazionali, le prove indicano anche collegamenti con il più ampio panorama della criminalità informatica russa attraverso individui ritenuti attuali o ex criminali informatici.

Diversi metodi di infezione e un arsenale di malware personalizzato

L'attore della minaccia utilizza una varietà di meccanismi di diffusione per compromettere le vittime. Questi includono campagne di spear-phishing altamente mirate, pagine di verifica CAPTCHA ingannevoli e siti web fraudolenti di intrattenimento per adulti a tema ucraino. In tutte le sue operazioni, GREYVIBE si affida costantemente a malware, loader e strumenti di offuscamento sviluppati internamente per eludere il rilevamento e mantenere l'accesso ai sistemi compromessi.

Sono stati osservati diversi schemi di attacco distinti:

  • PhantomMail distribuisce archivi ZIP e RAR dannosi tramite email di spear-phishing contenenti link ospitati su Google Drive e 4sync. Questi archivi includono loader JavaScript che avviano documenti esca e contemporaneamente installano PhantomRelay, un trojan di accesso remoto (RAT) basato su PowerShell in grado di effettuare ricognizioni di sistema ed eseguire comandi da remoto.
  • PhantomClick sfrutta pagine CAPTCHA false in stile ClickFix ospitate su domini che impersonano servizi come Zoom e LAPAS. Le vittime vengono manipolate e indotte a eseguire comandi che attivano la catena di infezione PhantomRelay.
  • PrincessClub utilizza siti web contraffatti di club per adulti ucraini per distribuire lo spyware FallSpy sui dispositivi Android e PhantomRelayV1 o LegionRelay sui sistemi Windows. Le versioni successive di questi siti web hanno integrato la funzionalità di chiamata in diretta basata su WebRTC per acquisire audio e video delle vittime. FallSpy è in grado di raccogliere informazioni sensibili dai dispositivi Android infetti, mentre LegionRelay supporta l'individuazione di file, il furto di dati, l'acquisizione di screenshot, l'estrazione delle credenziali del browser, la raccolta di dati da Telegram e WhatsApp e la configurazione del protocollo RDP (Remote Desktop Protocol). PhantomRelayV1 amplia le funzionalità del PhantomRelay originale aggiungendo un meccanismo di persistenza watchdog personalizzato.
  • DroneLink si maschera da organizzazione benefica a sostegno delle Forze Armate ucraine e fornisce WireGuard insieme a LegionRelay.
  • Nebo utilizza una variante di FallSpy camuffata da portale di accesso in lingua russa, probabilmente con l'intento di ingannare il personale militare ucraino e fargli credere di accedere a un legittimo sistema militare russo.

L’intelligenza artificiale come moltiplicatore di forze

Uno degli aspetti più rilevanti delle operazioni di GREYVIBE è la sua apparente dipendenza dall'intelligenza artificiale generativa e da modelli linguistici complessi per potenziare le capacità offensive. Le prove suggeriscono che il gruppo abbia utilizzato piattaforme come Ideogram AI, OpenAI ChatGPT e Google Gemini per la generazione di immagini, lo sviluppo di malware, l'offuscamento degli script, la creazione di infrastrutture di back-end e le operazioni post-compromissione.

Questo approccio basato sull'intelligenza artificiale offre diversi vantaggi operativi. Contribuisce a colmare le lacune in termini di competenze tecniche, accelera i cicli di sviluppo e riduce la dipendenza da famiglie di malware e strumenti precedentemente identificati che potrebbero facilitare l'attribuzione.

Il crescente utilizzo dell'intelligenza artificiale nelle operazioni informatiche rappresenta una sfida significativa per i difensori. Gli autori delle minacce possono generare, modificare o sostituire rapidamente i componenti dei loro strumenti, riducendo l'efficacia dei metodi di attribuzione tradizionali che si basano su indicatori tecnici stabili e artefatti malware ricorrenti.

Le debolezze operative rivelano lacune nello sviluppo

Nonostante abbia beneficiato dello sviluppo assistito dall'intelligenza artificiale, GREYVIBE ha dimostrato numerose lacune in termini di sicurezza operativa. I ricercatori hanno identificato difetti di progettazione all'interno di LegionRelay che hanno inavvertitamente esposto le funzionalità di backend, fornendo informazioni sul funzionamento interno del malware.

Errori di questo tipo sono generalmente rari tra attori statali altamente sofisticati, il che suggerisce che GREYVIBE potrebbe non rappresentare una tradizionale operazione di servizi segreti. Al contrario, il gruppo sembra possedere un livello di sofisticazione tecnica da basso a moderato, sfruttando le tecnologie di intelligenza artificiale per potenziare le proprie capacità al di là delle sue competenze intrinseche.

Indicatori di connessioni con criminali informatici

Diversi elementi emersi suggeriscono che GREYVIBE mantenga legami con il più ampio ecosistema della criminalità informatica russa:

  • Accesso o utilizzo di un'utilità di costruzione ISO associata a sospetti legami con la banda TrickBot e UAC-0098.
  • Rilevamento di varianti di PhantomRelay all'interno di campagne di criminalità informatica apparentemente non correlate, tra cui operazioni di phishing vocale su Microsoft Teams condotte tra luglio 2025 e febbraio 2026 e campagne di consegna KongTuke osservate tra febbraio e marzo 2026 che utilizzavano tecniche ClickFix.
  • Caricamento di campioni di sviluppo e test nelle fasi iniziali.
  • Utilizzo di slang informali di internet come 'letsrollboyos', 'totallyunsus' e 'cuteuwu' nelle convenzioni di denominazione degli artefatti di sviluppo.
  • Installazione del miner di criptovalute XMRig su un numero limitato di sistemi infetti da LegionRelay.

Questi indicatori supportano una valutazione di moderata affidabilità secondo cui GREYVIBE ha legami significativi con reti di criminalità informatica e una valutazione di bassa-moderata affidabilità secondo cui alcuni membri potrebbero essere, o essere stati in passato, coinvolti in attività di criminalità informatica.

Confondere il confine tra operazioni statali e criminali

La natura precisa del rapporto tra GREYVIBE e lo Stato russo rimane incerta. Esistono diverse possibilità, tra cui l'integrazione di personale criminale informatico in un'organizzazione sostenuta dallo Stato, operatori indipendenti che svolgono compiti su incarico statale, oppure la formazione di una struttura ibrida che combina elementi criminali e affiliati allo Stato.

Di conseguenza, GREYVIBE occupa uno spazio complesso tra la criminalità informatica tradizionale e le operazioni informatiche legate al governo. Questa sovrapposizione complica gli sforzi di attribuzione e mette in evidenza i confini sempre più sfumati tra l'attività criminale informatica a scopo di lucro e le operazioni di intelligence sponsorizzate dallo Stato.

Tendenza

I più visti

Caricamento in corso...