Rabatttilbud for flere lisenser
Trusseldatabase Advanced Persistent Threat (APT) GREYVIBE Trusselaktør

GREYVIBE Trusselaktør

Med Mezo i Advanced Persistent Threat (APT), Skadelig programvare
Oversett til:

En tidligere uidentifisert trusselaktør kjent som GREYVIBE har blitt knyttet til en vedvarende cyberspionasjekampanje rettet mot Ukraina og organisasjoner tilknyttet landet siden minst august 2025. Analyser tyder på at gruppen opererer hovedsakelig innenfor den russiske tidssonen og kommuniserer på russisk. Aktivitetene deres er tett knyttet til russiske statsinteresser, spesielt etterretningsinnsamling knyttet til den pågående russisk-ukrainske konflikten.

GREYVIBE har rettet seg mot et bredt spekter av sektorer, inkludert militære institusjoner, offentlige etater, sivile organisasjoner og private bedrifter. Selv om gruppens virksomhet viser kjennetegn knyttet til nasjonalstatlig aktivitet, tyder bevis også på forbindelser til det bredere russiske nettkriminelle landskapet gjennom individer som antas å være nåværende eller tidligere nettkriminalitetsaktører.

Ulike infeksjonsmetoder og tilpasset arsenal av skadelig programvare

Trusselaktøren bruker en rekke leveringsmekanismer for å kompromittere ofre. Disse inkluderer svært målrettede spear-phishing-kampanjer, villedende CAPTCHA-verifiseringssider og falske nettsteder for voksenunderholdning med ukrainsk tema. På tvers av sin virksomhet er GREYVIBE konsekvent avhengig av internt utviklet skadelig programvare, lasteprogrammer og obfuskasjonsverktøy for å unngå deteksjon og opprettholde tilgang til kompromitterte systemer.

Flere forskjellige angrepsrammeverk har blitt observert:

  • PhantomMail distribuerer ondsinnede ZIP- og RAR-arkiver gjennom spear-phishing-e-poster som inneholder lenker som ligger på Google Drive og 4sync. Disse arkivene inkluderer JavaScript-lastere som starter lokkedokumenter mens de distribuerer PhantomRelay, en PowerShell-basert trojaner for fjerntilgang (RAT) som er i stand til systemrekognosering og fjernutførelse av kommandoer.
  • PhantomClick utnytter falske CAPTCHA-sider i ClickFix-stil som ligger på domener som utgir seg for å være tjenester som Zoom og LAPAS. Ofrene manipuleres til å utføre kommandoer som utløser PhantomRelay-infeksjonskjeden.
  • PrincessClub bruker forfalskede ukrainske nettsteder for voksenklubber for å distribuere FallSpy-spionprogrammer på Android-enheter og enten PhantomRelayV1 eller LegionRelay på Windows-systemer. Senere versjoner av disse nettstedene har innlemmet WebRTC-basert live-call-funksjonalitet for å fange opp ofrenes lyd og video. FallSpy er i stand til å samle inn sensitiv informasjon fra infiserte Android-enheter, mens LegionRelay støtter filoppdagelse, datatyveri, skjermdumping, utvinning av nettleserlegitimasjon, datainnsamling fra Telegram og WhatsApp og konfigurasjon av Remote Desktop Protocol (RDP). PhantomRelayV1 utvider den originale PhantomRelay ved å legge til en tilpasset watchdog-vedvarende mekanisme.
  • DroneLink utgir seg for å være veldedige organisasjoner som støtter Ukrainas væpnede styrker og leverer WireGuard sammen med LegionRelay.
  • Nebo bruker en FallSpy-variant forkledd som en russiskspråklig innloggingsportal, sannsynligvis ment å lure ukrainsk militært personell til å tro at de har tilgang til et legitimt russisk militærsystem.

Kunstig intelligens som en kraftmultiplikator

Et av de mest bemerkelsesverdige aspektene ved GREYVIBEs virksomhet er den tilsynelatende avhengigheten av generativ kunstig intelligens og store språkmodeller for å forbedre offensive evner. Bevis tyder på at gruppen har brukt plattformer som Ideogram AI, OpenAI ChatGPT og Google Gemini for å bistå med bildegenerering, utvikling av skadelig programvare, skriptforvirring, opprettelse av backend-infrastruktur og operasjoner etter kompromittering.

Denne AI-assisterte tilnærmingen tilbyr flere driftsmessige fordeler. Den bidrar til å kompensere for tekniske ferdighetshull, akselererer utviklingssykluser og reduserer avhengigheten av tidligere identifiserte skadevarefamilier og verktøy som kan legge til rette for attribuering.

Den økende bruken av AI i cyberoperasjoner representerer en betydelig utfordring for forsvarere. Trusselaktører kan raskt generere, modifisere eller erstatte komponenter i verktøysettene sine, noe som reduserer effektiviteten til tradisjonelle attribusjonsmetoder som er avhengige av stabile tekniske indikatorer og tilbakevendende skadevareartefakter.

Operasjonelle svakheter avslører utviklingshull

Til tross for at GREYVIBE har nytt godt av AI-assistert utvikling, har den vist flere mangler innen operativ sikkerhet. Forskere identifiserte designfeil i LegionRelay som utilsiktet eksponerte backend-funksjonalitet, noe som ga innsikt i skadevarens interne drift.

Slike feil er generelt uvanlige blant svært sofistikerte statsstøttede aktører, noe som tyder på at GREYVIBE kanskje ikke representerer en tradisjonell etterretningstjenesteoperasjon. I stedet ser det ut til at gruppen har lav til moderat teknisk raffinement, samtidig som den utnytter AI-teknologier for å forbedre evner utover sitt iboende ferdighetsnivå.

Indikatorer på forbindelser til nettkriminelle

Flere funn tyder på at GREYVIBE opprettholder koblinger til det bredere russiske økosystemet for nettkriminalitet:

  • Tilgang til eller bruk av et ISO-byggingsverktøy knyttet til mistenkte bånd til TrickBot-gjengen og UAC-0098.
  • Deteksjon av PhantomRelay-varianter i tilsynelatende urelaterte nettkriminelle kampanjer, inkludert Microsoft Teams-stemmefisking-operasjoner utført mellom juli 2025 og februar 2026 og KongTuke-leveringskampanjer observert mellom februar og mars 2026 som benyttet ClickFix-teknikker.
  • Opplastinger av utviklings- og testeksempler i tidlig fase.
  • Bruk av uformell internettslang som «letsrollboyos», «totallyunsus» og «cuteuwu» i navnekonvensjoner for utviklingsartefakter.
  • Implementering av kryptovalutamineren XMRig på et begrenset antall systemer infisert med LegionRelay.

Disse indikatorene støtter en moderat tillitsvurdering av at GREYVIBE har betydelige bånd til nettkriminelle nettverk og en lav til moderat tillitvurdering av at noen medlemmer for øyeblikket kan være, eller tidligere har vært, involvert i nettkriminalitet.

Visker ut grensen mellom statlige og kriminelle operasjoner

Den nøyaktige naturen til GREYVIBEs forhold til den russiske staten er fortsatt usikker. Flere muligheter finnes, inkludert integrering av nettkriminelt personell i en statsstøttet organisasjon, uavhengige operatører som utfører statsstyrte oppgaver, eller dannelsen av en hybridstruktur som kombinerer kriminelle og statstilknyttede elementer.

Som et resultat av dette opptar GREYVIBE et komplekst rom mellom tradisjonell nettkriminalitet og myndighetsrelaterte nettoperasjoner. Denne overlappingen kompliserer tilskrivningsarbeidet og fremhever de stadig mer uklare grensene mellom økonomisk motivert nettkriminell aktivitet og statsstøttede etterretningsoperasjoner.

Trender

Mest sett

Laster inn...