GREYVIBE 위협 행위자

GREYVIBE라는 이름으로 알려진, 이전에는 신원이 확인되지 않았던 사이버 공격 조직이 적어도 2025년 8월부터 우크라이나와 우크라이나 관련 기관들을 대상으로 지속적인 사이버 스파이 활동을 벌인 것으로 밝혀졌습니다. 분석 결과, 이 조직은 주로 러시아 시간대에 활동하며 러시아어로 소통하는 것으로 나타났습니다. 이들의 활동은 러시아의 국가적 이익, 특히 현재 진행 중인 러시아-우크라이나 분쟁과 관련된 정보 수집 활동과 밀접하게 연관되어 있습니다.

GREYVIBE는 군사 기관, 정부 기관, 민간 단체 및 민간 기업을 포함한 광범위한 분야를 표적으로 삼았습니다. 이 그룹의 활동은 국가 주도의 활동과 관련된 특징을 보이지만, 현직 또는 전직 사이버 범죄 조직원으로 추정되는 인물들을 통해 더 광범위한 러시아 사이버 범죄 조직과의 연계도 시사하는 증거가 있습니다.

다양한 감염 방식과 맞춤형 악성코드 무기고

해당 공격자는 다양한 유포 방식을 사용하여 피해자를 공격합니다. 여기에는 고도로 표적화된 스피어 피싱 공격, 기만적인 CAPTCHA 인증 페이지, 그리고 우크라이나를 배경으로 한 성인 콘텐츠 웹사이트 등이 포함됩니다. GREYVIBE는 탐지를 회피하고 감염된 시스템에 대한 접근 권한을 유지하기 위해 자체 개발한 멀웨어, 로더, 난독화 도구를 지속적으로 사용합니다.

몇 가지 서로 다른 공격 프레임워크가 관찰되었습니다.

• PhantomMail은 Google Drive 및 4sync에 호스팅된 링크가 포함된 스피어 피싱 이메일을 통해 악성 ZIP 및 RAR 압축 파일을 배포합니다. 이러한 압축 파일에는 시스템 정찰 및 원격 명령 실행 기능을 갖춘 PowerShell 기반 원격 액세스 트로이목마(RAT)인 PhantomRelay를 배포하는 동시에 미끼 문서를 실행하는 JavaScript 로더가 포함되어 있습니다.
• PhantomClick은 Zoom 및 LAPAS와 같은 서비스를 사칭하는 도메인에 호스팅된 ClickFix 스타일의 가짜 CAPTCHA 페이지를 이용합니다. 피해자는 PhantomRelay 감염 사슬을 촉발하는 명령을 실행하도록 조작됩니다.
• 프린세스클럽(PrincessClub)은 가짜 우크라이나 성인 클럽 웹사이트를 이용하여 안드로이드 기기에는 FallSpy 스파이웨어를, 윈도우 시스템에는 PhantomRelayV1 또는 LegionRelay를 배포합니다. 이러한 웹사이트의 최신 버전에는 WebRTC 기반 실시간 통화 기능이 추가되어 피해자의 음성 및 영상을 캡처할 수 있습니다. FallSpy는 감염된 안드로이드 기기에서 민감한 정보를 수집할 수 있으며, LegionRelay는 파일 검색, 데이터 탈취, 스크린샷 캡처, 브라우저 자격 증명 추출, 텔레그램 및 WhatsApp 데이터 수집, 원격 데스크톱 프로토콜(RDP) 구성 등을 지원합니다. PhantomRelayV1은 기존 PhantomRelay에 맞춤형 감시 지속성 메커니즘을 추가하여 기능을 확장했습니다.
• 드론링크는 우크라이나군을 지원하는 자선 단체로 위장하여 레기온릴레이와 함께 와이어가드(WireGuard)를 제공합니다.
• 네보는 러시아어 로그인 포털로 위장한 폴스파이 변종을 배포했는데, 이는 우크라이나 군인들이 합법적인 러시아 군사 시스템에 접속하고 있다고 믿도록 속이려는 의도였을 가능성이 높다.

인공지능은 전력 증강 요소로 작용한다.

GREYVIBE의 활동에서 가장 주목할 만한 측면 중 하나는 공격 능력을 강화하기 위해 생성형 인공지능과 대규모 언어 모델에 크게 의존한다는 점입니다. 여러 정황으로 미루어 볼 때, 이들은 이미지 생성, 악성코드 개발, 스크립트 난독화, 백엔드 인프라 구축, 그리고 침해 후 작전 수행을 위해 Ideogram AI, OpenAI ChatGPT, Google Gemini와 같은 플랫폼을 활용한 것으로 보입니다.

이러한 AI 기반 접근 방식은 여러 가지 운영상의 이점을 제공합니다. 기술적 역량 부족을 보완하고, 개발 주기를 단축하며, 이전에 식별된 악성코드 계열 및 관련 도구에 대한 의존도를 줄여 악성코드의 출처를 파악하는 데 도움을 줍니다.

사이버 작전에서 인공지능(AI) 사용이 증가함에 따라 방어자들은 상당한 어려움에 직면하고 있습니다. 공격자들은 자신들의 도구 세트 구성 요소를 신속하게 생성, 수정 또는 교체할 수 있기 때문에 안정적인 기술적 지표와 반복적으로 나타나는 악성코드 흔적에 의존하는 기존의 공격자 식별 방식의 효과가 떨어지고 있습니다.

운영상의 약점이 개발 격차를 드러낸다

AI 기반 개발의 이점을 누렸음에도 불구하고, GREYVIBE는 여러 운영 보안 결함을 드러냈습니다. 연구원들은 LegionRelay에서 의도치 않게 백엔드 기능을 노출시키는 설계 결함을 발견했으며, 이를 통해 악성코드의 내부 작동 방식을 파악할 수 있었습니다.

이러한 실수는 고도로 정교한 국가 지원 행위자들 사이에서는 일반적으로 드물기 때문에 GREYVIBE는 전통적인 정보기관 작전이 아닐 가능성을 시사합니다. 오히려 이 그룹은 기술적 정교함은 낮거나 중간 정도이지만, 인공지능 기술을 활용하여 본래의 기술 수준을 뛰어넘는 역량을 강화하는 것으로 보입니다.

사이버범죄 연루 징후

여러 조사 결과에 따르면 GREYVIBE는 러시아 사이버 범죄 생태계 전반과 연계되어 있는 것으로 보입니다.

• TrickBot 갱단 및 UAC-0098과 연관된 것으로 의심되는 ISO 구축 유틸리티에 대한 접근 또는 사용.
• 겉보기에는 관련이 없어 보이는 사이버 범죄 캠페인 내에서 PhantomRelay 변종이 탐지되었습니다. 여기에는 2025년 7월부터 2026년 2월 사이에 발생한 Microsoft Teams 음성 피싱 공격과 2026년 2월부터 3월 사이에 ClickFix 기술을 사용한 KongTuke 배포 캠페인이 포함됩니다.
• 초기 개발 및 테스트 샘플 업로드.
• 개발 결과물 명명 규칙에서 'letsrollboyos', 'totallyunsus', 'cuteuwu'와 같은 비공식적인 인터넷 속어를 사용합니다.

이러한 지표들은 GREYVIBE가 사이버 범죄 네트워크와 의미 있는 연관성을 갖고 있다는 중간 정도의 확신도와, 일부 구성원이 현재 또는 과거에 사이버 범죄 활동에 연루되었을 가능성이 있다는 낮음에서 중간 정도의 확신도 평가를 뒷받침합니다.

국가와 범죄 조직의 경계를 모호하게 만들다

GREYVIBE와 러시아 국가 간의 정확한 관계는 여전히 불확실하다. 사이버 범죄 조직원이 국가 지원 조직에 통합된 경우, 국가 지시를 받는 임무를 수행하는 독립적인 운영자, 또는 범죄 조직과 국가 연계 조직이 결합된 혼합 구조 등 여러 가능성이 있다.

결과적으로 GREYVIBE는 전통적인 사이버 범죄와 정부 연계 사이버 작전 사이의 복잡한 영역에 속합니다. 이러한 중첩은 배후 추적을 어렵게 할 뿐만 아니라 금전적 동기를 가진 사이버 범죄 활동과 국가 지원 정보 작전 간의 경계가 점점 모호해지고 있음을 보여줍니다.