Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Amenințare persistentă avansată (APT) Actor de amenințare GREYVIBE

Actor de amenințare GREYVIBE

Până în Mezo în Amenințare persistentă avansată (APT), Programe malware
Tradu in:

Un actor de amenințare neidentificat anterior, cunoscut sub numele de GREYVIBE, a fost asociat cu o campanie susținută de ciberspionaj care vizează Ucraina și organizațiile conectate la această țară, cel puțin din august 2025. Analizele sugerează că grupul operează în principal în fusul orar rusesc și comunică în limba rusă. Activitățile sale sunt strâns aliniate cu interesele statului rus, în special cu eforturile de colectare a informațiilor legate de conflictul ruso-ucrainean în curs.

GREYVIBE a vizat o gamă largă de sectoare, inclusiv instituții militare, agenții guvernamentale, organizații civile și companii private. Deși operațiunile grupului prezintă caracteristici asociate cu activitatea statului național, dovezile indică și conexiuni cu peisajul cibernetic rus mai larg prin intermediul unor persoane despre care se crede că sunt actori actuali sau foști ai criminalității cibernetice.

Metode diverse de infectare și arsenal personalizat de malware

Actorul amenințător folosește o varietate de mecanisme de transmitere a informațiilor pentru a compromite victimele. Acestea includ campanii de spear-phishing extrem de bine direcționate, pagini de verificare CAPTCHA înșelătoare și site-uri web frauduloase de divertisment pentru adulți cu tematică ucraineană. În toate operațiunile sale, GREYVIBE se bazează constant pe programe malware, încărcătoare și instrumente de ofuscare dezvoltate intern pentru a evita detectarea și a menține accesul la sistemele compromise.

Au fost observate mai multe structuri distincte de atac:

  • PhantomMail distribuie arhive ZIP și RAR malițioase prin e-mailuri de tip spear-phishing care conțin linkuri găzduite pe Google Drive și 4sync. Aceste arhive includ încărcătoare JavaScript care lansează documente capcană în timp ce implementează PhantomRelay, un troian de acces la distanță (RAT) bazat pe PowerShell, capabil de recunoașterea sistemului și executarea comenzilor de la distanță.
  • PhantomClick folosește pagini CAPTCHA false, în stil ClickFix, găzduite pe domenii care se prefac a fi folosite de servicii precum Zoom și LAPAS. Victimele sunt manipulate să execute comenzi care declanșează lanțul de infecții PhantomRelay.
  • PrincessClub folosește site-uri web ucrainene contrafăcute, cu cluburi pentru adulți, pentru a distribui programe spyware FallSpy pe dispozitive Android și fie pe PhantomRelayV1, fie pe LegionRelay pe sistemele Windows. Versiunile ulterioare ale acestor site-uri web au încorporat funcționalitate de apel live bazată pe WebRTC pentru a captura sunetul și videoclipurile victimelor. FallSpy este capabil să colecteze informații sensibile de pe dispozitivele Android infectate, în timp ce LegionRelay acceptă descoperirea fișierelor, furtul de date, capturarea capturilor de ecran, extragerea acreditărilor browserului, colectarea datelor Telegram și WhatsApp și configurarea Remote Desktop Protocol (RDP). PhantomRelayV1 extinde versiunea originală a PhantomRelay prin adăugarea unui mecanism personalizat de persistență watchdog.
  • DroneLink se deghizează în organizații caritabile care sprijină Forțele Armate ale Ucrainei și livrează WireGuard alături de LegionRelay.
  • Nebo implementează o variantă FallSpy deghizată sub forma unui portal de conectare în limba rusă, probabil menită să înșele personalul militar ucrainean făcându-l să creadă că accesează un sistem militar rusesc legitim.

Inteligența artificială ca multiplicator de forță

Unul dintre cele mai notabile aspecte ale operațiunilor GREYVIBE este dependența sa aparentă de inteligența artificială generativă și modelele lingvistice mari pentru a îmbunătăți capacitățile ofensive. Dovezile sugerează că grupul a utilizat platforme precum Ideogram AI, OpenAI ChatGPT și Google Gemini pentru a ajuta la generarea de imagini, dezvoltarea de programe malware, ofuscarea scripturilor, crearea de infrastructură backend și operațiuni post-compromitere.

Această abordare asistată de inteligență artificială oferă mai multe avantaje operaționale. Ajută la compensarea lacunelor în materie de competențe tehnice, accelerează ciclurile de dezvoltare și reduce dependența de familiile și instrumentele de programe malware identificate anterior, care ar putea facilita atribuirea.

Utilizarea tot mai mare a inteligenței artificiale în cadrul operațiunilor cibernetice reprezintă o provocare semnificativă pentru apărători. Actorii amenințători pot genera, modifica sau înlocui rapid componente ale seturilor lor de instrumente, reducând eficacitatea metodelor tradiționale de atribuire care se bazează pe indicatori tehnici stabili și artefacte recurente de malware.

Deficiențele operaționale dezvăluie lacune de dezvoltare

Deși a beneficiat de dezvoltarea asistată de inteligență artificială, GREYVIBE a demonstrat multiple deficiențe în ceea ce privește securitatea operațională. Cercetătorii au identificat defecte de design în LegionRelay care au expus în mod accidental funcționalitatea backend, oferind informații despre operațiunile interne ale malware-ului.

Astfel de greșeli sunt în general mai puțin frecvente în rândul actorilor extrem de sofisticați, sponsorizați de stat, ceea ce sugerează că GREYVIBE ar putea să nu reprezinte o operațiune tradițională a serviciilor de informații. În schimb, grupul pare să posede o sofisticare tehnică scăzută spre moderată, în timp ce valorifică tehnologiile IA pentru a-și îmbunătăți capacitățile dincolo de nivelul său inerent de competență.

Indicatori ai conexiunilor infractorilor cibernetici

Mai multe constatări sugerează că GREYVIBE menține legături cu ecosistemul mai larg al criminalității cibernetice din Rusia:

  • Accesul la sau utilizarea unui utilitar de construire ISO asociat cu suspiciuni de legături cu banda TrickBot și UAC-0098.
  • Detectarea variantelor PhantomRelay în cadrul unor campanii cibernetice aparent fără legătură, inclusiv operațiuni de phishing vocal Microsoft Teams efectuate între iulie 2025 și februarie 2026 și campanii de livrare KongTuke observate între februarie și martie 2026 care au utilizat tehnici ClickFix.
  • Încărcări de mostre în stadiu incipient de dezvoltare și testare.
  • Utilizarea unor termeni informali de argou de pe internet, cum ar fi „letsrollboyos”, „totallyunsus” și „cuteuwu” în convențiile de denumire a artefactelor de dezvoltare.
  • Implementarea minereului de criptomonede XMRig pe un număr limitat de sisteme infectate cu LegionRelay.

Acești indicatori susțin o evaluare cu un nivel de încredere moderat conform căreia GREYVIBE are legături semnificative cu rețelele de infracțiuni cibernetice și o evaluare cu un nivel de încredere scăzut spre moderat conform căreia unii membri ar putea fi implicați în prezent sau au fost implicați anterior în activități de infracțiuni cibernetice.

Estomparea liniei dintre operațiunile statale și cele criminale

Natura precisă a relației GREYVIBE cu statul rus rămâne incertă. Există mai multe posibilități, inclusiv integrarea personalului infracțional cibernetic într-o organizație susținută de stat, operatori independenți care îndeplinesc sarcini dirijate de stat sau formarea unei structuri hibride care combină elemente criminale și afiliate statului.

Prin urmare, GREYVIBE ocupă un spațiu complex între criminalitatea cibernetică tradițională și operațiunile cibernetice legate de guvern. Această suprapunere complică eforturile de atribuire și evidențiază granițele din ce în ce mai estompate dintre activitatea cibernetică motivată financiar și operațiunile de informații sponsorizate de stat.

Trending

Cele mai văzute

Se încarcă...