Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Geavanceerde aanhoudende dreiging (APT) GREYVIBE Dreigingsactor

GREYVIBE Dreigingsactor

Tegen Mezo in Geavanceerde aanhoudende dreiging (APT), Malware
Vertalen naar:

Een voorheen onbekende dreigingsgroep, bekend als GREYVIBE, wordt in verband gebracht met een aanhoudende cyberespionagecampagne gericht op Oekraïne en aan het land gelieerde organisaties, die minstens sinds augustus 2025 gaande is. Analyse wijst uit dat de groep voornamelijk actief is in de Russische tijdzone en in het Russisch communiceert. De activiteiten sluiten nauw aan bij de belangen van de Russische staat, met name de inlichtingenvergaring in verband met het aanhoudende Russisch-Oekraïense conflict.

GREYVIBE heeft zich gericht op een breed scala aan sectoren, waaronder militaire instellingen, overheidsinstanties, burgerorganisaties en particuliere bedrijven. Hoewel de activiteiten van de groep kenmerken vertonen die geassocieerd worden met staatsactiviteiten, wijst het bewijs ook op connecties met het bredere Russische cybercriminele landschap via personen waarvan wordt aangenomen dat ze huidige of voormalige cybercriminelen zijn.

Diverse infectiemethoden en een op maat gemaakt malware-arsenaal.

De aanvaller maakt gebruik van diverse methoden om slachtoffers te infecteren. Deze omvatten zeer gerichte spear-phishingcampagnes, misleidende CAPTCHA-verificatiepagina's en frauduleuze websites met Oekraïens thema voor volwassenen. GREYVIBE vertrouwt in al haar activiteiten consequent op intern ontwikkelde malware, loaders en obfuscatietools om detectie te omzeilen en toegang tot gecompromitteerde systemen te behouden.

Er zijn verschillende, uiteenlopende aanvalsmethoden waargenomen:

  • PhantomMail verspreidt kwaadaardige ZIP- en RAR-archieven via spear-phishing-e-mails met links naar Google Drive en 4sync. Deze archieven bevatten JavaScript-loaders die nepdocumenten openen en tegelijkertijd PhantomRelay installeren, een op PowerShell gebaseerde remote access trojan (RAT) die systeemverkenning en het uitvoeren van commando's op afstand mogelijk maakt.
  • PhantomClick maakt gebruik van ClickFix-achtige nep-CAPTCHA-pagina's die worden gehost op domeinen die zich voordoen als diensten zoals Zoom en LAPAS. Slachtoffers worden gemanipuleerd om commando's uit te voeren die de PhantomRelay-infectieketen in gang zetten.
  • PrincessClub gebruikt namaakwebsites van Oekraïense seksclubs om FallSpy-spyware te verspreiden op Android-apparaten en PhantomRelayV1 of LegionRelay op Windows-systemen. Latere versies van deze websites bevatten WebRTC-gebaseerde live-callfunctionaliteit om audio en video van slachtoffers vast te leggen. FallSpy kan gevoelige informatie verzamelen van geïnfecteerde Android-apparaten, terwijl LegionRelay ondersteuning biedt voor het vinden van bestanden, datadiefstal, het maken van screenshots, het extraheren van browsergegevens, het verzamelen van Telegram- en WhatsApp-gegevens en het configureren van Remote Desktop Protocol (RDP). PhantomRelayV1 bouwt voort op de originele PhantomRelay door een aangepast bewakingsmechanisme toe te voegen.
  • DroneLink doet zich voor als een liefdadigheidsorganisatie die de strijdkrachten van Oekraïne steunt en levert WireGuard samen met LegionRelay.
  • Nebo zet een FallSpy-variant in die vermomd is als een Russischtalig inlogportaal, waarschijnlijk bedoeld om Oekraïens militair personeel te misleiden door hen te laten geloven dat ze toegang hebben tot een legitiem Russisch militair systeem.

Kunstmatige intelligentie als krachtversterker

Een van de meest opvallende aspecten van de activiteiten van GREYVIBE is de schijnbare afhankelijkheid van generatieve kunstmatige intelligentie en grote taalmodellen om de offensieve mogelijkheden te vergroten. Er zijn aanwijzingen dat de groep platforms zoals Ideogram AI, OpenAI ChatGPT en Google Gemini heeft gebruikt voor het genereren van afbeeldingen, het ontwikkelen van malware, het verbergen van scripts, het creëren van backend-infrastructuur en post-compromisoperaties.

Deze door AI ondersteunde aanpak biedt diverse operationele voordelen. Het helpt tekortkomingen in technische vaardigheden te compenseren, versnelt ontwikkelcycli en vermindert de afhankelijkheid van eerder geïdentificeerde malwarefamilies en tools die de toewijzing van de dader zouden kunnen vergemakkelijken.

Het toenemende gebruik van AI binnen cyberoperaties vormt een aanzienlijke uitdaging voor verdedigers. Kwaadwillende actoren kunnen snel componenten van hun toolset genereren, aanpassen of vervangen, waardoor de effectiviteit van traditionele methoden voor het toeschrijven van daders, die gebaseerd zijn op stabiele technische indicatoren en terugkerende malware-artefacten, afneemt.

Operationele zwakheden leggen ontwikkelingslacunes bloot

Ondanks de voordelen van AI-ondersteunde ontwikkeling, vertoont GREYVIBE meerdere operationele beveiligingsproblemen. Onderzoekers hebben ontwerpfouten in LegionRelay ontdekt die onbedoeld de backend-functionaliteit blootlegden, waardoor inzicht werd verkregen in de interne werking van de malware.

Dergelijke fouten komen over het algemeen niet vaak voor bij zeer geavanceerde, door de staat gesponsorde actoren, wat erop wijst dat GREYVIBE mogelijk geen traditionele inlichtingendienstoperatie vertegenwoordigt. De groep lijkt eerder over een laag tot gemiddeld technisch niveau te beschikken en maakt gebruik van AI-technologieën om haar mogelijkheden te vergroten, voorbij haar inherente vaardigheden.

Indicatoren van cybercriminaliteit

Uit diverse onderzoeken blijkt dat GREYVIBE banden onderhoudt met het bredere Russische cybercriminaliteitsecosysteem:

  • Toegang tot of gebruik van een ISO-bouwprogramma dat mogelijk banden heeft met de TrickBot-bende en UAC-0098.
  • Detectie van PhantomRelay-varianten binnen ogenschijnlijk ongerelateerde cybercriminele campagnes, waaronder spraakphishing-aanvallen op Microsoft Teams die plaatsvonden tussen juli 2025 en februari 2026 en KongTuke-leveringscampagnes die tussen februari en maart 2026 werden waargenomen en waarbij ClickFix-technieken werden gebruikt.
  • Uploads van prototypes uit de vroege ontwikkelings- en testfase.
  • Het gebruik van informele internettaal zoals 'letsrollboyos', 'totallyunsus' en 'cuteuwu' in de naamgeving van ontwikkelcomponenten.
  • De XMRig-cryptocurrencyminer wordt ingezet op een beperkt aantal systemen die besmet zijn met LegionRelay.

Deze indicatoren ondersteunen een inschatting met een gemiddelde mate van zekerheid dat GREYVIBE significante banden heeft met cybercriminele netwerken, en een inschatting met een lage tot gemiddelde mate van zekerheid dat sommige leden momenteel, of in het verleden, betrokken zijn geweest bij cybercriminaliteit.

De grens tussen staats- en criminele activiteiten vervaagt.

De precieze aard van de relatie tussen GREYVIBE en de Russische staat blijft onduidelijk. Verschillende mogelijkheden bestaan, waaronder de integratie van cybercriminelen in een door de staat gesteunde organisatie, onafhankelijke agenten die in opdracht van de staat opereren, of de vorming van een hybride structuur die criminele en aan de staat gelieerde elementen combineert.

GREYVIBE bevindt zich daardoor in een complexe positie tussen traditionele cybercriminaliteit en door de overheid gelieerde cyberoperaties. Deze overlapping bemoeilijkt het vaststellen van de dader en benadrukt de steeds vager wordende grenzen tussen financieel gemotiveerde cybercriminaliteit en door de staat gesponsorde inlichtingenoperaties.

Trending

Meest bekeken

Bezig met laden...