GREYVIBE Актор загрози
Раніше неідентифікований зловмисник під назвою GREYVIBE був пов'язаний з постійною кібершпигунською кампанією, спрямованою проти України та організацій, пов'язаних з країною, щонайменше з серпня 2025 року. Аналіз показує, що група діє переважно в російському часовому поясі та спілкується російською мовою. Її діяльність тісно пов'язана з державними інтересами Росії, зокрема зі збором розвідувальних даних, пов'язаних з триваючим російсько-українським конфліктом.
GREYVIBE була спрямована на широкий спектр секторів, включаючи військові установи, державні установи, цивільні організації та приватний бізнес. Хоча операції групи демонструють характеристики, пов'язані з діяльністю національної держави, докази також вказують на зв'язки з ширшим російським кіберзлочинним ландшафтом через осіб, які, як вважається, є чинними або колишніми учасниками кіберзлочинності.
Зміст
Різноманітні методи зараження та арсенал шкідливого програмного забезпечення на замовлення
Зловмисник використовує різноманітні механізми доставки для компрометації жертв. До них належать цілеспрямовані фішингові кампанії, оманливі сторінки перевірки CAPTCHA та шахрайські веб-сайти для дорослих з українською тематикою. У своїй діяльності GREYVIBE постійно покладається на внутрішньо розроблене шкідливе програмне забезпечення, завантажувачі та інструменти обфускації, щоб уникнути виявлення та зберегти доступ до скомпрометованих систем.
Було виявлено кілька різних схем атаки:
- PhantomMail розповсюджує шкідливі ZIP- та RAR-архіви через фішингові електронні листи, що містять посилання, розміщені на Google Диску та 4sync. Ці архіви містять завантажувачі JavaScript, які запускають документи-приманки під час розгортання PhantomRelay, трояна віддаленого доступу (RAT) на базі PowerShell, здатного до розвідки системи та віддаленого виконання команд.
- PhantomClick використовує підроблені сторінки CAPTCHA у стилі ClickFix, розміщені на доменах, що видають себе за такі сервіси, як Zoom та LAPAS. Жертв маніпулюють, змушуючи їх виконувати команди, що запускають ланцюг зараження PhantomRelay.
- PrincessClub використовує підроблені українські веб-сайти клубів для дорослих для розповсюдження шпигунського програмного забезпечення FallSpy на пристроях Android та PhantomRelayV1 або LegionRelay на системах Windows. Пізніші версії цих веб-сайтів включали функцію живого дзвінка на основі WebRTC для захоплення аудіо та відео жертв. FallSpy здатний збирати конфіденційну інформацію із заражених пристроїв Android, тоді як LegionRelay підтримує виявлення файлів, крадіжку даних, створення скріншотів, вилучення облікових даних браузера, збір даних Telegram та WhatsApp, а також налаштування протоколу віддаленого робочого столу (RDP). PhantomRelayV1 розширює оригінальний PhantomRelay, додаючи спеціальний механізм сторожового контролю.
- DroneLink маскується під благодійні організації, що підтримують Збройні Сили України, та постачає WireGuard разом із LegionRelay.
- Nebo використовує варіант FallSpy, замаскований під російськомовний портал входу, ймовірно, з метою обману українських військовослужбовців, змусивши їх повірити, що вони отримують доступ до легітимної російської військової системи.
Штучний інтелект як множник сили
Одним із найпомітніших аспектів діяльності GREYVIBE є її очевидна залежність від генеративного штучного інтелекту та моделей великих мов для покращення наступальних можливостей. Дані свідчать про те, що група використовувала такі платформи, як Ideogram AI, OpenAI ChatGPT та Google Gemini, для допомоги у створенні зображень, розробці шкідливого програмного забезпечення, обфускації скриптів, створенні серверної інфраструктури та операціях після компрометації.
Такий підхід за допомогою штучного інтелекту пропонує кілька операційних переваг. Він допомагає компенсувати прогалини в технічних навичках, прискорює цикли розробки та зменшує залежність від раніше виявлених сімейств шкідливих програм та інструментів, які можуть сприяти атрибуції.
Зростаюче використання штучного інтелекту в кіберопераціях створює значний виклик для захисників. Зловмисники можуть швидко створювати, змінювати або замінювати компоненти своїх інструментів, знижуючи ефективність традиційних методів атрибуції, які спираються на стабільні технічні показники та повторювані артефакти шкідливого програмного забезпечення.
Операційні недоліки виявляють прогалини в розвитку
Незважаючи на переваги розробки за допомогою штучного інтелекту, GREYVIBE продемонстрував численні недоліки операційної безпеки. Дослідники виявили недоліки дизайну в LegionRelay, які ненавмисно розкривали функціональність серверної частини, що дало уявлення про внутрішні операції шкідливого програмного забезпечення.
Такі помилки, як правило, рідкісні серед висококваліфікованих державних структур, що свідчить про те, що GREYVIBE може не являти собою традиційну операцію розвідувальної служби. Натомість, група, схоже, має низький або помірний технічний рівень, водночас використовуючи технології штучного інтелекту для розширення можливостей, що перевищують її властивий рівень навичок.
Індикатори зв’язків кіберзлочинців
Численні результати дослідження свідчать про те, що GREYVIBE підтримує зв'язки з ширшою російською екосистемою кіберзлочинності:
- Доступ до або використання утиліти для створення ISO-образів, пов'язаної з підозрою в зв'язках з угрупованням TrickBot та UAC-0098.
- Виявлення варіантів PhantomRelay у, здавалося б, не пов'язаних між собою кіберзлочинних кампаніях, включаючи операції голосового фішингу Microsoft Teams, проведені між липнем 2025 року та лютим 2026 року, та кампанії доставки KongTuke, що спостерігалися між лютим та березнем 2026 року та використовували методи ClickFix.
- Завантаження зразків ранньої стадії розробки та тестування.
- Використання неформального інтернет-сленгу, такого як «letsrollboyos», «totallyunsus» та «cuteuwu», у правилах найменування артефактів розробки.
- Розгортання майнера криптовалюти XMRig на обмеженій кількості систем, заражених LegionRelay.
Ці показники підтверджують оцінку помірної впевненості щодо того, що GREYVIBE має значущі зв'язки з кіберзлочинними мережами, та оцінку низької та помірної впевненості щодо того, що деякі члени можуть зараз бути або раніше бути залучені до кіберзлочинності.
Розмивання межі між державними та кримінальними операціями
Точний характер відносин GREYVIBE з російською державою залишається невизначеним. Існує кілька можливостей, зокрема інтеграція персоналу кіберзлочинців у державну організацію, незалежні оператори, що виконують державні завдання, або формування гібридної структури, яка поєднує кримінальні та пов'язані з державою елементи.
В результаті, GREYVIBE займає складний простір між традиційною кіберзлочинністю та кіберопераціями, пов'язаними з урядом. Цей перетин ускладнює зусилля з атрибуції та підкреслює дедалі розмитіші межі між фінансово мотивованою кіберзлочинною діяльністю та розвідувальними операціями, що фінансуються державою.
