Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ameaça Persistente Avançada (APT) Ator de Ameaça GREYVIBE

Ator de Ameaça GREYVIBE

Por Mezo em Ameaça Persistente Avançada (APT), Malware
Traduzir Para:

Um grupo de ameaças previamente não identificado, conhecido como GREYVIBE, foi associado a uma campanha contínua de ciberespionagem contra a Ucrânia e organizações ligadas ao país desde pelo menos agosto de 2025. Análises sugerem que o grupo opera principalmente no fuso horário russo e se comunica em russo. Suas atividades estão intimamente alinhadas aos interesses do Estado russo, particularmente aos esforços de coleta de informações relacionados ao conflito russo-ucraniano em curso.

O grupo GREYVIBE tem como alvo uma ampla gama de setores, incluindo instituições militares, agências governamentais, organizações civis e empresas privadas. Embora as operações do grupo apresentem características associadas à atividade de um Estado-nação, as evidências também indicam conexões com o cenário mais amplo do cibercrime russo por meio de indivíduos que se acredita serem ou terem sido agentes de crimes cibernéticos.

Métodos de infecção diversificados e arsenal de malware personalizado

O grupo de ameaças utiliza diversos mecanismos de distribuição para comprometer as vítimas. Estes incluem campanhas de spear-phishing altamente direcionadas, páginas de verificação CAPTCHA enganosas e sites fraudulentos de entretenimento adulto com temática ucraniana. Em todas as suas operações, o GREYVIBE utiliza consistentemente malware, loaders e ferramentas de ofuscação desenvolvidos internamente para evitar a detecção e manter o acesso aos sistemas comprometidos.

Foram observadas diversas estruturas de ataque distintas:

  • O PhantomMail distribui arquivos ZIP e RAR maliciosos por meio de e-mails de spear-phishing contendo links hospedados no Google Drive e no 4sync. Esses arquivos incluem carregadores JavaScript que executam documentos falsos enquanto implantam o PhantomRelay, um trojan de acesso remoto (RAT) baseado em PowerShell capaz de realizar reconhecimento do sistema e execução remota de comandos.
  • O PhantomClick utiliza páginas CAPTCHA falsas no estilo ClickFix, hospedadas em domínios que se fazem passar por serviços como Zoom e LAPAS. As vítimas são manipuladas para executar comandos que desencadeiam a cadeia de infecção do PhantomRelay.
  • O PrincessClub utiliza sites falsos de clubes adultos ucranianos para distribuir o spyware FallSpy em dispositivos Android e o PhantomRelayV1 ou o LegionRelay em sistemas Windows. Versões posteriores desses sites incorporaram funcionalidades de chamadas ao vivo baseadas em WebRTC para capturar áudio e vídeo das vítimas. O FallSpy é capaz de coletar informações sensíveis de dispositivos Android infectados, enquanto o LegionRelay oferece suporte à descoberta de arquivos, roubo de dados, captura de tela, extração de credenciais do navegador, coleta de dados do Telegram e WhatsApp e configuração do Protocolo de Área de Trabalho Remota (RDP). O PhantomRelayV1 expande o PhantomRelay original adicionando um mecanismo personalizado de persistência watchdog.
  • A DroneLink se disfarça de organização beneficente que apoia as Forças Armadas da Ucrânia e fornece o WireGuard juntamente com o LegionRelay.
  • Nebo implementa uma variante do FallSpy disfarçada de portal de login em russo, provavelmente com o objetivo de enganar militares ucranianos, fazendo-os acreditar que estão acessando um sistema militar russo legítimo.

Inteligência Artificial como Multiplicadora de Força

Um dos aspectos mais notáveis das operações do GREYVIBE é sua aparente dependência de inteligência artificial generativa e grandes modelos de linguagem para aprimorar suas capacidades ofensivas. Evidências sugerem que o grupo utilizou plataformas como Ideogram AI, OpenAI ChatGPT e Google Gemini para auxiliar na geração de imagens, desenvolvimento de malware, ofuscação de scripts, criação de infraestrutura de backend e operações pós-invasão.

Essa abordagem assistida por IA oferece diversas vantagens operacionais. Ela ajuda a compensar lacunas de habilidades técnicas, acelera os ciclos de desenvolvimento e reduz a dependência de famílias e ferramentas de malware previamente identificadas que poderiam facilitar a atribuição de autoria.

O uso crescente de IA em operações cibernéticas representa um desafio significativo para os defensores. Os agentes de ameaças podem gerar, modificar ou substituir rapidamente componentes de seus conjuntos de ferramentas, reduzindo a eficácia dos métodos tradicionais de atribuição que dependem de indicadores técnicos estáveis e artefatos de malware recorrentes.

As fragilidades operacionais revelam lacunas de desenvolvimento.

Apesar de se beneficiar do desenvolvimento assistido por IA, o GREYVIBE demonstrou múltiplas deficiências de segurança operacional. Pesquisadores identificaram falhas de projeto no LegionRelay que expuseram inadvertidamente a funcionalidade do backend, fornecendo informações sobre as operações internas do malware.

Esses erros são geralmente incomuns entre atores altamente sofisticados patrocinados pelo Estado, sugerindo que o GREYVIBE pode não representar uma operação tradicional de serviço de inteligência. Em vez disso, o grupo parece possuir um nível de sofisticação técnica baixo a moderado, ao mesmo tempo que utiliza tecnologias de IA para aprimorar capacidades além de seu nível de habilidade inerente.

Indicadores de ligações com cibercriminosos

Diversas descobertas sugerem que a GREYVIBE mantém ligações com o ecossistema mais amplo do cibercrime russo:

  • Acesso ou utilização de um utilitário de construção de ISO associado a suspeitas de ligações com a gangue TrickBot e o UAC-0098.
  • Detecção de variantes do PhantomRelay em campanhas cibercriminosas aparentemente não relacionadas, incluindo operações de phishing por voz no Microsoft Teams realizadas entre julho de 2025 e fevereiro de 2026 e campanhas de entrega do KongTuke observadas entre fevereiro e março de 2026 que empregaram técnicas do ClickFix.
  • Envio de amostras em fase inicial de desenvolvimento e teste.
  • Uso de gírias informais da internet, como 'letsrollboyos', 'totallyunsus' e 'cuteuwu', nas convenções de nomenclatura de artefatos de desenvolvimento.
  • Implantação do minerador de criptomoedas XMRig em um número limitado de sistemas infectados com LegionRelay.

Esses indicadores sustentam uma avaliação de confiança moderada de que a GREYVIBE possui vínculos significativos com redes de cibercriminosos e uma avaliação de confiança baixa a moderada de que alguns membros podem estar, ou já estiveram, envolvidos em atividades de cibercrime.

A linha divisória entre operações estatais e criminosas está se tornando cada vez mais tênue.

A natureza precisa da relação da GREYVIBE com o Estado russo permanece incerta. Existem várias possibilidades, incluindo a integração de pessoal cibercriminoso em uma organização apoiada pelo Estado, operadores independentes executando tarefas dirigidas pelo Estado ou a formação de uma estrutura híbrida que combine elementos criminosos e ligados ao Estado.

Consequentemente, o GREYVIBE ocupa um espaço complexo entre o cibercrime tradicional e as operações cibernéticas ligadas ao governo. Essa sobreposição complica os esforços de atribuição e destaca as fronteiras cada vez mais tênues entre a atividade cibercriminosa com motivação financeira e as operações de inteligência patrocinadas pelo Estado.

Tendendo

Mais visto

Carregando...