Aktor na Nagbabanta sa GREYVIBE

Isang dating hindi nakikilalang aktor ng banta na kilala bilang GREYVIBE ang naiugnay sa isang patuloy na kampanya ng cyber-espionage na tumatarget sa Ukraine at mga organisasyong konektado sa bansa simula pa noong Agosto 2025. Ipinahihiwatig ng pagsusuri na ang grupo ay pangunahing nagpapatakbo sa loob ng time zone ng Russia at nakikipag-usap sa wikang Ruso. Ang mga aktibidad nito ay malapit na naaayon sa mga interes ng estado ng Russia, lalo na ang mga pagsisikap sa pagkolekta ng impormasyon na may kaugnayan sa patuloy na tunggalian sa pagitan ng Russo at Ukrainian.

Malawak na hanay ng mga sektor ang tinarget ng GREYVIBE, kabilang ang mga institusyong militar, mga ahensya ng gobyerno, mga organisasyong sibilyan, at mga pribadong negosyo. Bagama't ang mga operasyon ng grupo ay nagpapakita ng mga katangiang nauugnay sa aktibidad ng bansa-estado, ipinapahiwatig din ng ebidensya ang mga koneksyon sa mas malawak na tanawin ng cybercriminal ng Russia sa pamamagitan ng mga indibidwal na pinaniniwalaang kasalukuyan o dating mga aktor ng cybercrime.

Iba’t Ibang Paraan ng Impeksyon at Custom Malware Arsenal

Gumagamit ang aktor ng banta ng iba't ibang mekanismo sa paghahatid upang makompromiso ang mga biktima. Kabilang dito ang mga lubos na naka-target na kampanya ng spear-phishing, mga mapanlinlang na pahina ng pag-verify ng CAPTCHA, at mga mapanlinlang na website ng pang-adultong libangan na may temang Ukrainian. Sa buong operasyon nito, ang GREYVIBE ay patuloy na umaasa sa mga internal na binuong malware, mga loader, at mga tool sa obfuscation upang maiwasan ang pagtuklas at mapanatili ang access sa mga nakompromisong sistema.

Maraming natatanging balangkas ng pag-atake ang naobserbahan:

• Namamahagi ang PhantomMail ng mga malisyosong ZIP at RAR archive sa pamamagitan ng mga spear-phishing email na naglalaman ng mga link na naka-host sa Google Drive at 4sync. Kasama sa mga archive na ito ang mga JavaScript loader na naglulunsad ng mga decoy na dokumento habang dine-deploy ang PhantomRelay, isang PowerShell-based remote access trojan (RAT) na may kakayahang mag-reconnaissance ng system at mag-explore ng remote command.
• Ginagamit ng PhantomClick ang mga pekeng pahina ng CAPTCHA na istilo ng ClickFix na naka-host sa mga domain na nagpapanggap na mga serbisyo tulad ng Zoom at LAPAS. Minamanipula ang mga biktima upang isagawa ang mga utos na nagpapalitaw sa kadena ng impeksyon ng PhantomRelay.
• Gumagamit ang PrincessClub ng mga pekeng website ng Ukrainian adult-club upang mamahagi ng FallSpy spyware sa mga Android device at alinman sa PhantomRelayV1 o LegionRelay sa mga Windows system. Ang mga mas bagong bersyon ng mga website na ito ay nagsama ng WebRTC-based live-call functionality upang makuha ang audio at video ng mga biktima. May kakayahan ang FallSpy na mangolekta ng sensitibong impormasyon mula sa mga nahawaang Android device, habang sinusuportahan ng LegionRelay ang pagtuklas ng file, pagnanakaw ng data, pagkuha ng screenshot, pagkuha ng kredensyal ng browser, pagkolekta ng data ng Telegram at WhatsApp, at pag-configure ng Remote Desktop Protocol (RDP). Pinalalawak ng PhantomRelayV1 ang orihinal na PhantomRelay sa pamamagitan ng pagdaragdag ng custom na mekanismo ng persistence ng watchdog.
• Nagkukunwaring mga organisasyong pangkawanggawa ang DroneLink na sumusuporta sa Sandatahang Lakas ng Ukraine at naghahatid ng WireGuard kasama ang LegionRelay.
• Nag-deploy ang Nebo ng isang variant ng FallSpy na nagbabalatkayo bilang isang login portal sa wikang Ruso, na malamang na nilayon upang linlangin ang mga tauhan ng militar ng Ukraine na maniwala na ina-access nila ang isang lehitimong sistema ng militar ng Russia.

Artipisyal na Katalinuhan bilang isang Pagpaparami ng Puwersa

Isa sa mga pinakakapansin-pansing aspeto ng mga operasyon ng GREYVIBE ay ang maliwanag na pag-asa nito sa generative artificial intelligence at malalaking modelo ng wika upang mapahusay ang mga kakayahan sa opensiba. Ipinahihiwatig ng ebidensya na ginamit ng grupo ang mga platform tulad ng Ideogram AI, OpenAI ChatGPT, at Google Gemini upang tumulong sa pagbuo ng imahe, pagbuo ng malware, pag-obfuscate ng script, paglikha ng imprastraktura ng backend, at mga operasyon pagkatapos ng kompromiso.

Ang pamamaraang ito na tinutulungan ng AI ay nag-aalok ng ilang bentahe sa pagpapatakbo. Nakakatulong ito na mapunan ang mga kakulangan sa teknikal na kasanayan, mapabilis ang mga siklo ng pag-unlad, at mabawasan ang pagdepende sa mga dating natukoy na pamilya ng malware at mga tool na maaaring mapadali ang pagkilala.

Ang pagtaas ng paggamit ng AI sa loob ng mga operasyon sa cyber ay nagpapakita ng isang malaking hamon para sa mga tagapagtanggol. Ang mga aktor ng banta ay maaaring mabilis na makabuo, magbago, o palitan ang mga bahagi ng kanilang mga toolset, na binabawasan ang bisa ng mga tradisyonal na pamamaraan ng pagpapatungkol na umaasa sa mga matatag na teknikal na tagapagpahiwatig at paulit-ulit na mga artifact ng malware.

Ang mga Kahinaan sa Operasyon ay Nagpapakita ng mga Pagitan sa Pag-unlad

Sa kabila ng nakinabang mula sa AI-assisted development, ang GREYVIBE ay nagpakita ng maraming kakulangan sa seguridad sa operasyon. Natukoy ng mga mananaliksik ang mga depekto sa disenyo sa loob ng LegionRelay na hindi sinasadyang naglantad sa backend functionality, na nagbibigay ng kaalaman sa mga panloob na operasyon ng malware.

Ang ganitong mga pagkakamali ay karaniwang hindi pangkaraniwan sa mga sopistikadong aktor na itinataguyod ng estado, na nagmumungkahi na ang GREYVIBE ay maaaring hindi kumakatawan sa isang tradisyonal na operasyon ng serbisyo ng paniktik. Sa halip, ang grupo ay tila nagtataglay ng mababa hanggang katamtamang teknikal na sopistikasyon habang ginagamit ang mga teknolohiya ng AI upang mapahusay ang mga kakayahan na lampas sa likas na antas ng kasanayan nito.

Mga Indikasyon ng mga Koneksyon sa Cybercriminal

Maraming natuklasan ang nagmumungkahi na ang GREYVIBE ay nagpapanatili ng mga ugnayan sa mas malawak na ecosystem ng cybercrime sa Russia:

• Pag-access o paggamit ng isang ISO-building utility na nauugnay sa pinaghihinalaang kaugnayan sa TrickBot gang at UAC-0098.
• Pagtuklas ng mga variant ng PhantomRelay sa loob ng tila walang kaugnayang mga kampanyang cybercriminal, kabilang ang mga operasyon ng voice-phishing ng Microsoft Teams na isinagawa sa pagitan ng Hulyo 2025 at Pebrero 2026 at mga kampanya sa paghahatid ng KongTuke na naobserbahan sa pagitan ng Pebrero at Marso 2026 na gumamit ng mga pamamaraan ng ClickFix.
• Mga pag-upload ng mga sample ng pag-develop at pagsubok sa mga unang yugto.
• Paggamit ng impormal na balbal sa internet tulad ng 'letsrollboyos,' 'totalyunsus,' at 'cuteuwu' sa mga kombensiyon sa pagpapangalan ng mga artifact sa pag-unlad.
• Pag-deploy ng XMRig cryptocurrency miner sa limitadong bilang ng mga sistemang nahawaan ng LegionRelay.

Sinusuportahan ng mga tagapagpahiwatig na ito ang isang katamtamang pagtatasa ng kumpiyansa na ang GREYVIBE ay may makabuluhang ugnayan sa mga cybercriminal network at isang mababa hanggang katamtamang pagtatasa ng kumpiyansa na ang ilang miyembro ay maaaring kasalukuyan, o dati nang sangkot, sa mga aktibidad ng cybercrime.

Pagpapalabo ng Linya sa Pagitan ng Estado at mga Operasyong Kriminal

Ang tiyak na katangian ng relasyon ng GREYVIBE sa estado ng Russia ay nananatiling hindi tiyak. Mayroong ilang mga posibilidad, kabilang ang pagsasama ng mga tauhan ng cybercriminal sa isang organisasyong sinusuportahan ng estado, mga independiyenteng operator na nagsasagawa ng mga gawain na pinangangasiwaan ng estado, o ang pagbuo ng isang hybrid na istruktura na pinagsasama ang mga elementong kriminal at kaakibat ng estado.

Dahil dito, ang GREYVIBE ay sumasakop sa isang masalimuot na espasyo sa pagitan ng tradisyonal na cybercrime at mga operasyong cyber na nauugnay sa gobyerno. Ang pagsasanib na ito ay nagpapakomplikado sa mga pagsisikap sa pagpapatungkol at nagpapakita ng lalong malabong mga hangganan sa pagitan ng aktibidad na cybercriminal na may motibasyon sa pananalapi at mga operasyong paniktik na inisponsor ng estado.