GREYVIBE Threat Actor
Ранее неидентифицированная группа киберпреступников, известная как GREYVIBE, связана с продолжительной кампанией кибершпионажа, направленной против Украины и организаций, связанных со страной, по меньшей мере с августа 2025 года. Анализ показывает, что группа действует преимущественно в российском часовом поясе и общается на русском языке. Ее деятельность тесно связана с интересами российского государства, в частности, с разведывательными усилиями, касающимися продолжающегося российско-украинского конфликта.
Группа GREYVIBE нацелена на широкий круг секторов, включая военные учреждения, правительственные агентства, гражданские организации и частные предприятия. Хотя операции группы демонстрируют характеристики, характерные для деятельности на уровне государств, имеются также свидетельства связей с более широким российским киберпреступным ландшафтом через лиц, которые, как предполагается, являются действующими или бывшими киберпреступниками.
Оглавление
Разнообразные методы заражения и собственный арсенал вредоносного ПО.
Злоумышленник использует различные механизмы доставки вредоносного ПО для компрометации жертв. К ним относятся целенаправленные фишинговые кампании, обманчивые страницы проверки CAPTCHA и мошеннические сайты с контентом для взрослых на украинскую тематику. В своей деятельности GREYVIBE постоянно использует разработанное внутри компании вредоносное ПО, загрузчики и инструменты обфускации, чтобы избежать обнаружения и сохранить доступ к скомпрометированным системам.
Было выявлено несколько различных схем атак:
- PhantomMail распространяет вредоносные ZIP и RAR архивы через фишинговые электронные письма, содержащие ссылки на Google Drive и 4sync. Эти архивы содержат загрузчики JavaScript, которые запускают поддельные документы, одновременно развертывая PhantomRelay — троян удаленного доступа (RAT) на основе PowerShell, способный к разведке системы и удаленному выполнению команд.
- PhantomClick использует поддельные страницы CAPTCHA в стиле ClickFix, размещенные на доменах, имитирующих такие сервисы, как Zoom и LAPAS. Жертв заставляют выполнять команды, которые запускают цепочку заражения PhantomRelay.
- PrincessClub использует поддельные украинские сайты для взрослых, распространяющие шпионское ПО FallSpy на устройствах Android, а также PhantomRelayV1 или LegionRelay на системах Windows. Более поздние версии этих сайтов включали в себя функциональность звонков в режиме реального времени на основе WebRTC для захвата аудио- и видеопотоков жертв. FallSpy способен собирать конфиденциальную информацию с зараженных устройств Android, в то время как LegionRelay поддерживает обнаружение файлов, кражу данных, создание скриншотов, извлечение учетных данных браузера, сбор данных Telegram и WhatsApp, а также настройку протокола удаленного рабочего стола (RDP). PhantomRelayV1 расширяет возможности оригинального PhantomRelay, добавляя собственный механизм постоянного наблюдения.
- Компания DroneLink, маскируясь под благотворительную организацию, поддерживающую Вооруженные силы Украины, поставляет WireGuard совместно с LegionRelay.
- Nebo использует вариант FallSpy, замаскированный под русскоязычный портал авторизации, предположительно, с целью обмануть украинских военнослужащих, заставив их поверить, что они получают доступ к легитимной российской военной системе.
Искусственный интеллект как фактор повышения эффективности
Одна из наиболее примечательных особенностей деятельности GREYVIBE — это очевидная опора на генеративный искусственный интеллект и большие языковые модели для повышения эффективности наступательных операций. Имеющиеся данные свидетельствуют о том, что группа использовала такие платформы, как Ideogram AI, OpenAI ChatGPT и Google Gemini, для генерации изображений, разработки вредоносного ПО, обфускации скриптов, создания серверной инфраструктуры и проведения операций после взлома.
Этот подход с использованием ИИ предлагает ряд операционных преимуществ. Он помогает компенсировать пробелы в технических навыках, ускоряет циклы разработки и снижает зависимость от ранее выявленных семейств вредоносных программ и инструментов, которые могли бы способствовать установлению авторства.
Растущее использование ИИ в кибербезопасности представляет собой серьезную проблему для защитников. Злоумышленники могут быстро создавать, модифицировать или заменять компоненты своих инструментов, снижая эффективность традиционных методов установления источника угроз, основанных на стабильных технических индикаторах и повторяющихся артефактах вредоносного ПО.
Операционные недостатки выявляют пробелы в развитии.
Несмотря на преимущества разработки с использованием ИИ, GREYVIBE продемонстрировал многочисленные недостатки в операционной безопасности. Исследователи выявили недостатки в проектировании LegionRelay, которые непреднамеренно раскрывали функциональность бэкэнда, предоставляя информацию о внутренней работе вредоносного ПО.
Подобные ошибки, как правило, редко встречаются среди высококвалифицированных государственных структур, что позволяет предположить, что GREYVIBE, возможно, не представляет собой традиционную разведывательную операцию. Вместо этого, группа, по всей видимости, обладает низким или средним уровнем технической подготовки, используя при этом технологии искусственного интеллекта для расширения своих возможностей за пределы присущего ей уровня квалификации.
Признаки связей с киберпреступниками
Многочисленные данные свидетельствуют о том, что GREYVIBE поддерживает связи с более широкой российской экосистемой киберпреступности:
- Доступ к или использование утилиты для создания ISO-объектов, предположительно связанной с группировкой TrickBot и UAC-0098.
- Выявление вариантов PhantomRelay в, казалось бы, несвязанных киберпреступных кампаниях, включая фишинговые операции с использованием голосовых сообщений в Microsoft Teams, проводившиеся в период с июля 2025 года по февраль 2026 года, и кампании по доставке сообщений KongTuke, наблюдавшиеся в период с февраля по март 2026 года и использовавшие методы ClickFix.
- Загрузка образцов на ранних стадиях разработки и тестирования.
- Использование неформального интернет-сленга, такого как «letsrollboyos», «totallyunsus» и «cuteuwu», в соглашениях об именовании разрабатываемых артефактов.
Эти показатели подтверждают оценку средней степени достоверности того, что GREYVIBE имеет значимые связи с сетями киберпреступников, и оценку низкой или средней степени достоверности того, что некоторые члены организации могут в настоящее время быть или ранее были вовлечены в киберпреступную деятельность.
Размывание границы между государственными и преступными операциями
Точная природа связей GREYVIBE с российским государством остается неясной. Существует несколько вариантов, включая интеграцию киберпреступников в поддерживаемую государством организацию, независимых операторов, выполняющих задачи по указанию государства, или формирование гибридной структуры, сочетающей криминальные и связанные с государством элементы.
В результате GREYVIBE занимает сложную нишу между традиционной киберпреступностью и кибероперациями, связанными с государством. Это пересечение затрудняет установление вины и подчеркивает все более размытые границы между киберпреступностью, мотивированной финансовыми интересами, и разведывательными операциями, спонсируемыми государством.
