Diễn viên đe dọa GREYVIBE

Một nhóm tin tặc chưa được xác định danh tính trước đây, được biết đến với tên gọi GREYVIBE, đã bị liên kết với một chiến dịch gián điệp mạng kéo dài nhắm vào Ukraine và các tổ chức có liên hệ với nước này kể từ ít nhất tháng 8 năm 2025. Phân tích cho thấy nhóm này hoạt động chủ yếu trong múi giờ Nga và giao tiếp bằng tiếng Nga. Các hoạt động của nhóm này phù hợp chặt chẽ với lợi ích nhà nước Nga, đặc biệt là các nỗ lực thu thập thông tin tình báo liên quan đến cuộc xung đột Nga-Ukraine đang diễn ra.

GREYVIBE đã nhắm mục tiêu vào nhiều lĩnh vực khác nhau, bao gồm các tổ chức quân sự, cơ quan chính phủ, tổ chức dân sự và doanh nghiệp tư nhân. Mặc dù hoạt động của nhóm này thể hiện những đặc điểm liên quan đến hoạt động của nhà nước, nhưng bằng chứng cũng cho thấy mối liên hệ với phạm vi tội phạm mạng rộng lớn hơn của Nga thông qua các cá nhân được cho là những kẻ phạm tội mạng hiện tại hoặc trước đây.

Các phương pháp lây nhiễm đa dạng và kho vũ khí phần mềm độc hại tùy chỉnh

Kẻ tấn công sử dụng nhiều cơ chế lây nhiễm khác nhau để xâm nhập nạn nhân. Chúng bao gồm các chiến dịch tấn công lừa đảo có chủ đích cao, các trang xác minh CAPTCHA giả mạo và các trang web giải trí người lớn giả mạo có chủ đề Ukraine. Trong suốt quá trình hoạt động, GREYVIBE luôn dựa vào phần mềm độc hại, trình tải và công cụ che giấu do chính nhóm phát triển để tránh bị phát hiện và duy trì quyền truy cập vào các hệ thống bị xâm nhập.

Một số khung tấn công khác nhau đã được ghi nhận:

• PhantomMail phát tán các tệp lưu trữ ZIP và RAR độc hại thông qua email lừa đảo có chứa các liên kết được lưu trữ trên Google Drive và 4sync. Các tệp lưu trữ này bao gồm các trình tải JavaScript khởi chạy các tài liệu giả mạo đồng thời triển khai PhantomRelay, một phần mềm độc hại truy cập từ xa (RAT) dựa trên PowerShell có khả năng do thám hệ thống và thực thi lệnh từ xa.
• PhantomClick sử dụng các trang CAPTCHA giả mạo kiểu ClickFix được lưu trữ trên các tên miền mạo danh các dịch vụ như Zoom và LAPAS. Nạn nhân bị thao túng để thực hiện các lệnh kích hoạt chuỗi lây nhiễm PhantomRelay.
• PrincessClub sử dụng các trang web giả mạo câu lạc bộ người lớn của Ukraine để phát tán phần mềm gián điệp FallSpy trên thiết bị Android và PhantomRelayV1 hoặc LegionRelay trên hệ thống Windows. Các phiên bản sau này của các trang web này tích hợp chức năng gọi trực tiếp dựa trên WebRTC để thu thập âm thanh và video của nạn nhân. FallSpy có khả năng thu thập thông tin nhạy cảm từ các thiết bị Android bị nhiễm, trong khi LegionRelay hỗ trợ tìm kiếm tập tin, đánh cắp dữ liệu, chụp ảnh màn hình, trích xuất thông tin đăng nhập trình duyệt, thu thập dữ liệu Telegram và WhatsApp, và cấu hình Giao thức Máy tính Từ xa (RDP). PhantomRelayV1 mở rộng PhantomRelay gốc bằng cách thêm cơ chế giám sát duy trì tùy chỉnh.
• DroneLink giả danh là các tổ chức từ thiện hỗ trợ Lực lượng vũ trang Ukraine và cung cấp WireGuard cùng với LegionRelay.
• Nebo triển khai một biến thể của FallSpy được ngụy trang thành cổng đăng nhập tiếng Nga, có khả năng nhằm mục đích đánh lừa các quân nhân Ukraine tin rằng họ đang truy cập vào một hệ thống quân sự hợp pháp của Nga.

Trí tuệ nhân tạo như một yếu tố nhân rộng sức mạnh

Một trong những khía cạnh đáng chú ý nhất trong hoạt động của GREYVIBE là sự phụ thuộc rõ ràng vào trí tuệ nhân tạo tạo sinh và các mô hình ngôn ngữ lớn để tăng cường khả năng tấn công. Bằng chứng cho thấy nhóm này đã sử dụng các nền tảng như Ideogram AI, OpenAI ChatGPT và Google Gemini để hỗ trợ tạo ảnh, phát triển phần mềm độc hại, làm mờ mã kịch bản, tạo cơ sở hạ tầng phụ trợ và các hoạt động sau khi xâm nhập.

Phương pháp hỗ trợ bởi trí tuệ nhân tạo này mang lại một số lợi thế về mặt vận hành. Nó giúp bù đắp những thiếu hụt về kỹ năng kỹ thuật, đẩy nhanh chu kỳ phát triển và giảm sự phụ thuộc vào các họ phần mềm độc hại và các công cụ đã được xác định trước đó có thể hỗ trợ việc xác định nguồn gốc.

Việc sử dụng ngày càng nhiều trí tuệ nhân tạo (AI) trong các hoạt động an ninh mạng đặt ra một thách thức đáng kể cho các nhà phòng thủ. Các tác nhân đe dọa có thể nhanh chóng tạo ra, sửa đổi hoặc thay thế các thành phần trong bộ công cụ của chúng, làm giảm hiệu quả của các phương pháp xác định nguồn gốc truyền thống dựa vào các chỉ báo kỹ thuật ổn định và các dấu vết phần mềm độc hại lặp đi lặp lại.

Những điểm yếu trong hoạt động cho thấy những khoảng trống trong phát triển.

Mặc dù được hưởng lợi từ quá trình phát triển có sự hỗ trợ của trí tuệ nhân tạo, GREYVIBE vẫn bộc lộ nhiều điểm yếu về bảo mật vận hành. Các nhà nghiên cứu đã xác định được những lỗi thiết kế trong LegionRelay vô tình làm lộ chức năng phía máy chủ, cung cấp thông tin chi tiết về hoạt động nội bộ của phần mềm độc hại.

Những sai sót như vậy thường không phổ biến ở các tác nhân được nhà nước tài trợ có trình độ cao, cho thấy GREYVIBE có thể không phải là một hoạt động tình báo truyền thống. Thay vào đó, nhóm này dường như sở hữu trình độ kỹ thuật từ thấp đến trung bình, đồng thời tận dụng công nghệ trí tuệ nhân tạo để nâng cao khả năng vượt quá trình độ kỹ năng vốn có của mình.

Các dấu hiệu cho thấy mối liên hệ với tội phạm mạng

Nhiều bằng chứng cho thấy GREYVIBE có liên hệ với hệ sinh thái tội phạm mạng rộng lớn hơn của Nga:

• Việc truy cập hoặc sử dụng tiện ích xây dựng ISO có liên quan đến các mối nghi ngờ về băng đảng TrickBot và UAC-0098.
• Phát hiện các biến thể của PhantomRelay trong các chiến dịch tội phạm mạng dường như không liên quan, bao gồm các hoạt động lừa đảo qua giọng nói trên Microsoft Teams được thực hiện từ tháng 7 năm 2025 đến tháng 2 năm 2026 và các chiến dịch phát tán KongTuke được quan sát thấy từ tháng 2 đến tháng 3 năm 2026 sử dụng kỹ thuật ClickFix.
• Các bản tải lên mẫu phát triển và thử nghiệm ở giai đoạn đầu.
• Việc sử dụng tiếng lóng không chính thức trên internet như 'letsrollboyos,' 'totallyunsus,' và 'cuteuwu' trong quy ước đặt tên sản phẩm phát triển.
• Triển khai phần mềm khai thác tiền điện tử XMRig trên một số lượng hạn chế các hệ thống bị nhiễm LegionRelay.

Những chỉ báo này hỗ trợ đánh giá ở mức độ tin cậy trung bình rằng GREYVIBE có mối liên hệ đáng kể với các mạng lưới tội phạm mạng và đánh giá ở mức độ tin cậy thấp đến trung bình rằng một số thành viên có thể hiện đang hoặc trước đây đã tham gia vào các hoạt động tội phạm mạng.

Làm mờ ranh giới giữa hoạt động nhà nước và hoạt động tội phạm.

Bản chất chính xác mối quan hệ giữa GREYVIBE và nhà nước Nga vẫn chưa rõ ràng. Có một số khả năng, bao gồm việc tích hợp các nhân viên tội phạm mạng vào một tổ chức được nhà nước hậu thuẫn, các cá nhân hoạt động độc lập thực hiện các nhiệm vụ do nhà nước chỉ đạo, hoặc hình thành một cấu trúc lai kết hợp các yếu tố tội phạm và liên kết với nhà nước.

Do đó, GREYVIBE hoạt động trong một phạm vi phức tạp giữa tội phạm mạng truyền thống và các hoạt động mạng có liên hệ với chính phủ. Sự chồng chéo này làm phức tạp các nỗ lực xác định nguồn gốc và làm nổi bật ranh giới ngày càng mờ nhạt giữa hoạt động tội phạm mạng có động cơ tài chính và các hoạt động tình báo do nhà nước tài trợ.