Rabattoffert för flera licenser
Hotdatabas Advanced Persistent Threat (APT) GREYVIBE Hotaktör

GREYVIBE Hotaktör

Med Mezo år Advanced Persistent Threat (APT), Skadlig programvara
Översätt till:

En tidigare oidentifierad hotaktör känd som GREYVIBE har kopplats till en pågående cyberspionagekampanj riktad mot Ukraina och organisationer med koppling till landet sedan åtminstone augusti 2025. Analyser tyder på att gruppen huvudsakligen verkar inom den ryska tidszonen och kommunicerar på ryska. Dess aktiviteter ligger nära ryska statliga intressen, särskilt insatser för att samla in underrättelser relaterade till den pågående rysk-ukrainska konflikten.

GREYVIBE har riktat in sig på ett brett spektrum av sektorer, inklusive militära institutioner, myndigheter, civila organisationer och privata företag. Även om gruppens verksamhet uppvisar drag som förknippas med nationsstatlig aktivitet, tyder bevis också på kopplingar till det bredare ryska cyberbrottsliga landskapet genom individer som tros vara nuvarande eller tidigare cyberbrottsaktörer.

Olika infektionsmetoder och anpassad arsenal för skadlig kod

Hotaktören använder en mängd olika leveransmekanismer för att kompromettera offer. Dessa inkluderar riktade spear-phishing-kampanjer, vilseledande CAPTCHA-verifieringssidor och bedrägliga webbplatser för vuxenunderhållning med ukrainskt tema. GREYVIBE förlitar sig konsekvent på internt utvecklad skadlig kod, laddare och förvrängningsverktyg i sin verksamhet för att undvika upptäckt och bibehålla åtkomst till komprometterade system.

Flera distinkta attackramverk har observerats:

  • PhantomMail distribuerar skadliga ZIP- och RAR-arkiv via spear-phishing-mejl som innehåller länkar som finns på Google Drive och 4sync. Dessa arkiv inkluderar JavaScript-laddare som startar lockbeteendedokument samtidigt som de distribuerar PhantomRelay, en PowerShell-baserad fjärråtkomsttrojan (RAT) som kan systemspana och köra kommandon på distans.
  • PhantomClick utnyttjar falska CAPTCHA-sidor i ClickFix-stil som finns på domäner som utger sig för att vara tjänster som Zoom och LAPAS. Offren manipuleras att utföra kommandon som utlöser PhantomRelay-infektionskedjan.
  • PrincessClub använder förfalskade ukrainska webbplatser för vuxenklubbar för att distribuera FallSpy-spionprogram på Android-enheter och antingen PhantomRelayV1 eller LegionRelay på Windows-system. Senare versioner av dessa webbplatser har införlivat WebRTC-baserad live-call-funktionalitet för att fånga offrens ljud och video. FallSpy kan samla in känslig information från infekterade Android-enheter, medan LegionRelay stöder filupptäckt, datastöld, skärmdumpstagning, extrahering av webbläsaruppgifter, datainsamling från Telegram och WhatsApp samt konfiguration av Remote Desktop Protocol (RDP). PhantomRelayV1 utökar det ursprungliga PhantomRelay genom att lägga till en anpassad övervakningsmekanism.
  • DroneLink utger sig för att vara välgörenhetsorganisationer som stöder Ukrainas väpnade styrkor och levererar WireGuard tillsammans med LegionRelay.
  • Nebo använder en FallSpy-variant förklädd till en ryskspråkig inloggningsportal, troligen avsedd att lura ukrainsk militärpersonal att tro att de har tillgång till ett legitimt ryskt militärt system.

Artificiell intelligens som kraftmultiplikator

En av de mest anmärkningsvärda aspekterna av GREYVIBEs verksamhet är dess uppenbara beroende av generativ artificiell intelligens och stora språkmodeller för att förbättra offensiva förmågor. Det finns bevis som tyder på att gruppen har använt plattformar som Ideogram AI, OpenAI ChatGPT och Google Gemini för att hjälpa till med bildgenerering, utveckling av skadlig kod, skriptförvrängning, skapande av backend-infrastruktur och operationer efter kompromettering.

Denna AI-stödda metod erbjuder flera operativa fördelar. Den hjälper till att kompensera för tekniska kompetensbrister, accelererar utvecklingscykler och minskar beroendet av tidigare identifierade familjer av skadlig kod och verktyg som kan underlätta attribution.

Den ökande användningen av AI inom cyberoperationer utgör en betydande utmaning för försvarare. Hotaktörer kan snabbt generera, modifiera eller ersätta komponenter i sina verktyg, vilket minskar effektiviteten hos traditionella attributionsmetoder som förlitar sig på stabila tekniska indikatorer och återkommande artefakter från skadlig kod.

Operativa svagheter avslöjar utvecklingsluckor

Trots att GREYVIBE drar nytta av AI-assisterad utveckling har företaget uppvisat flera brister i operativ säkerhet. Forskare identifierade designfel i LegionRelay som oavsiktligt exponerade backend-funktionalitet, vilket gav insikt i den skadliga programvarans interna verksamhet.

Sådana misstag är i allmänhet ovanliga bland mycket sofistikerade statsstödda aktörer, vilket tyder på att GREYVIBE kanske inte representerar en traditionell underrättelsetjänstoperation. Istället verkar gruppen ha låg till måttlig teknisk sofistikering samtidigt som den utnyttjar AI-teknik för att förbättra sina förmågor utöver sin inneboende kompetensnivå.

Indikatorer på kopplingar till cyberkriminella

Flera resultat tyder på att GREYVIBE har kopplingar till det bredare ryska ekosystemet för cyberbrottslighet:

  • Åtkomst till eller användning av ett ISO-byggande verktyg kopplat till misstänkta kopplingar till TrickBot-gänget och UAC-0098.
  • Upptäckt av PhantomRelay-varianter inom till synes orelaterade cyberbrottsliga kampanjer, inklusive röstnätfiskeoperationer i Microsoft Teams som utfördes mellan juli 2025 och februari 2026 och KongTuke-leveranskampanjer som observerades mellan februari och mars 2026 och som använde ClickFix-tekniker.
  • Uppladdningar av utvecklings- och testexempel i tidig fas.
  • Användning av informellt internetslang som 'letsrollboyos', 'totallyunsus' och 'cuteuwu' i namngivningskonventioner för utvecklingsartefakter.
  • Implementering av kryptovalutan XMRig-minern på ett begränsat antal system infekterade med LegionRelay.

Dessa indikatorer stöder en bedömning med måttlig tilltro till att GREYVIBE har betydande kopplingar till cyberkriminella nätverk och en bedömning med låg till måttlig tilltro till att vissa medlemmar för närvarande kan vara, eller tidigare ha varit, inblandade i cyberbrottslighet.

Sudda ut gränsen mellan statliga och kriminella operationer

Den exakta karaktären av GREYVIBEs relation till den ryska staten är fortfarande osäker. Flera möjligheter finns, inklusive integration av cyberkriminell personal i en statsstödd organisation, oberoende aktörer som utför statligt styrda uppgifter, eller bildandet av en hybridstruktur som kombinerar kriminella och statsanslutna element.

Som ett resultat upptar GREYVIBE ett komplext utrymme mellan traditionell cyberbrottslighet och statligt kopplade cyberoperationer. Denna överlappning komplicerar attributionsarbetet och belyser de alltmer suddiga gränserna mellan ekonomiskt motiverad cyberbrottslig verksamhet och statligt sponsrade underrättelseoperationer.

Trendigt

Din Microsoft Outlook e-postklient är föråldrad...

Nätfiske, Spam
E-postmeddelandena "Din Microsoft Outlook-e-postklient är föråldrad" är nätfiskemeddelanden som är utformade för att se ut som officiella säkerhetsmeddelanden från Microsoft Outlook. E-postmeddelandena varnar mottagarna för att deras e-postklient påstås vara föråldrad och hävdar att om de inte uppdateras omedelbart kan det leda till förlust av e-postmeddelanden, kontakter, kalendrar, möten och...

Mest sedda

Läser in...