灰影威胁行为者
一个名为 GREYVIBE 的此前身份不明的威胁组织,被指与一项持续的网络间谍活动有关,该活动至少从 2025 年 8 月起就针对乌克兰及其相关组织。分析表明,该组织主要在俄罗斯时区活动,并使用俄语进行通信。其活动与俄罗斯的国家利益密切相关,尤其是在俄乌冲突相关的情报收集方面。
GREYVIBE 的攻击目标涵盖广泛领域,包括军事机构、政府机构、民间组织和私营企业。虽然该组织的行动展现出与国家级犯罪活动相关的特征,但证据也表明,它与更广泛的俄罗斯网络犯罪网络存在联系,这种联系是通过一些被认为是现任或前任网络犯罪分子的个人实现的。
目录
多种感染方法和定制恶意软件库
该威胁行为者采用多种传播机制来攻击受害者,包括目标明确的鱼叉式网络钓鱼活动、欺骗性的验证码页面以及虚假的乌克兰主题成人娱乐网站。在其所有攻击活动中,GREYVIBE 始终依赖其内部开发的恶意软件、加载器和混淆工具来逃避检测并维持对受感染系统的访问权限。
已观察到几种不同的攻击框架:
- PhantomMail 通过包含托管在 Google Drive 和 4sync 上的链接的鱼叉式网络钓鱼电子邮件分发恶意 ZIP 和 RAR 压缩文件。这些压缩文件包含 JavaScript 加载器,它们会在部署 PhantomRelay 的同时启动诱饵文档。PhantomRelay 是一种基于 PowerShell 的远程访问木马 (RAT),能够进行系统侦察和远程命令执行。
- PhantomClick 利用 ClickFix 式的虚假验证码页面,这些页面托管在模仿 Zoom 和 LAPAS 等服务的域名上。受害者会被诱骗执行触发 PhantomRelay 感染链的命令。
- PrincessClub 利用伪造的乌克兰成人俱乐部网站,在安卓设备上传播 FallSpy 间谍软件,并在 Windows 系统上传播 PhantomRelayV1 或 LegionRelay 间谍软件。这些网站的后续版本集成了基于 WebRTC 的实时通话功能,用于捕获受害者的音频和视频。FallSpy 能够从受感染的安卓设备中收集敏感信息,而 LegionRelay 则支持文件发现、数据窃取、屏幕截图、浏览器凭据提取、Telegram 和 WhatsApp 数据收集以及远程桌面协议 (RDP) 配置。PhantomRelayV1 在原版 PhantomRelay 的基础上,添加了自定义的监视程序持久化机制。
- DroneLink 伪装成支持乌克兰武装部队的慈善组织,并提供 WireGuard 和 LegionRelay 服务。
- Nebo 部署了一个伪装成俄语登录门户的 FallSpy 变种,其目的很可能是为了欺骗乌克兰军方人员,让他们误以为自己正在访问合法的俄罗斯军事系统。
人工智能作为力量倍增器
GREYVIBE行动最显著的特点之一是其对生成式人工智能和大型语言模型的明显依赖,以增强攻击能力。证据表明,该组织利用了诸如Ideogram AI、OpenAI ChatGPT和Google Gemini等平台来辅助图像生成、恶意软件开发、脚本混淆、后端基础设施搭建以及入侵后的操作。
这种人工智能辅助方法具有多项操作优势。它有助于弥补技术技能方面的不足,加快开发周期,并减少对先前已识别的恶意软件家族和可能有助于溯源的工具的依赖。
人工智能在网络行动中的日益普及给防御者带来了巨大挑战。攻击者可以快速生成、修改或替换其工具集中的组件,从而降低依赖稳定技术指标和重复出现的恶意软件痕迹的传统归因方法的有效性。
运营缺陷暴露出发展差距
尽管受益于人工智能辅助开发,GREYVIBE 仍暴露出多项运行安全缺陷。研究人员发现 LegionRelay 中的设计缺陷无意中暴露了后端功能,从而揭示了该恶意软件的内部运作机制。
此类错误在高度复杂的国家支持型组织中通常并不常见,这表明 GREYVIBE 可能并非传统意义上的情报机构。相反,该组织似乎技术水平较低,但利用人工智能技术来提升自身能力,使其超越了自身固有的技能水平。
网络犯罪关联的指标
多项调查结果表明,GREYVIBE 与更广泛的俄罗斯网络犯罪生态系统保持着联系:
- 访问或使用与 TrickBot 团伙和 UAC-0098 有疑似联系的 ISO 构建实用程序。
- 在看似无关的网络犯罪活动中检测到了 PhantomRelay 变种,包括在 2025 年 7 月至 2026 年 2 月期间进行的 Microsoft Teams 语音网络钓鱼活动,以及在 2026 年 2 月至 3 月期间观察到的采用 ClickFix 技术的 KongTuke 投递活动。
- 上传早期开发和测试样品。
- 在开发工件命名约定中使用非正式的网络俚语,例如“letsrollboyos”、“totallyunsus”和“cuteuwu”。
这些指标支持中等程度的置信度评估,即 GREYVIBE 与网络犯罪网络有实质性联系;同时支持低到中等程度的置信度评估,即某些成员目前可能参与或曾经参与网络犯罪活动。
模糊国家行动与犯罪行动之间的界限
GREYVIBE与俄罗斯政府之间确切的关系仍不明朗。存在几种可能性,包括网络犯罪人员被纳入国家支持的组织、独立行动者执行国家指示的任务,或者形成一种结合了犯罪分子和国家相关人员的混合结构。
因此,GREYVIBE 处于传统网络犯罪和政府相关网络行动之间的复杂位置。这种重叠使得归因工作更加复杂,并凸显了以经济利益为动机的网络犯罪活动和国家支持的情报行动之间日益模糊的界限。
