灰影威脅行為者
一個名為 GREYVIBE 的先前身份不明的威脅組織,被指與一項持續的網路間諜活動有關,該活動至少從 2025 年 8 月起就針對烏克蘭及其相關組織。分析表明,該組織主要在俄羅斯時區活動,並使用俄語進行通訊。其活動與俄羅斯的國家利益密切相關,尤其是在俄烏衝突相關的情報收集方面。
GREYVIBE 的攻擊目標涵蓋廣泛領域,包括軍事機構、政府機構、民間組織和私人企業。雖然該組織的行動展現出與國家級犯罪活動相關的特徵,但證據也表明,它與更廣泛的俄羅斯網路犯罪網絡存在聯繫,這種聯繫是透過一些被認為是現任或前任網路犯罪分子的個人實現的。
目錄
多種感染方法和客製化惡意軟體庫
該威脅行為者採用多種傳播機制來攻擊受害者,包括目標明確的魚叉式網路釣魚活動、欺騙性的驗證碼頁面以及虛假的烏克蘭主題成人娛樂網站。在其所有攻擊活動中,GREYVIBE 始終依賴其內部開發的惡意軟體、載入器和混淆工具來逃避偵測並維持對受感染系統的存取權限。
已觀察到幾種不同的攻擊框架:
- PhantomMail 透過包含託管在 Google Drive 和 4sync 上的連結的魚叉式網路釣魚電子郵件來分發惡意 ZIP 和 RAR 壓縮檔案。這些壓縮檔案包含 JavaScript 載入器,它們會在部署 PhantomRelay 的同時啟動誘餌文件。 PhantomRelay 是一種基於 PowerShell 的遠端存取木馬 (RAT),能夠進行系統偵察和遠端命令執行。
- PhantomClick 利用 ClickFix 式的假驗證碼頁面,這些頁面託管在模仿 Zoom 和 LAPAS 等服務的網域上。受害者會被誘騙執行觸發 PhantomRelay 感染鏈的命令。
- PrincessClub 利用偽造的烏克蘭成人俱樂部網站,在安卓裝置上傳播 FallSpy 間諜軟體,並在 Windows 系統上傳播 PhantomRelayV1 或 LegionRelay 間諜軟體。這些網站的後續版本整合了基於 WebRTC 的即時通話功能,用於捕捉受害者的音訊和視訊。 FallSpy 能夠從受感染的安卓裝置中收集敏感信息,而 LegionRelay 則支援文件發現、資料竊取、螢幕截圖、瀏覽器憑證提取、Telegram 和 WhatsApp 資料收集以及遠端桌面協定 (RDP) 配置。 PhantomRelayV1 在原版 PhantomRelay 的基礎上,加入了自訂的監視程式持久化機制。
- DroneLink 偽裝成支援烏克蘭武裝部隊的慈善組織,並提供 WireGuard 和 LegionRelay 服務。
- Nebo 部署了一個偽裝成俄語登入入口網站的 FallSpy 變種,其目的很可能是為了欺騙烏克蘭軍方人員,讓他們誤以為自己正在訪問合法的俄羅斯軍事系統。
人工智慧作為力量倍增器
GREYVIBE行動最顯著的特點之一是其對生成式人工智慧和大型語言模型的明顯依賴,以增強攻擊能力。證據表明,該組織利用了Ideogram AI、OpenAI ChatGPT和Google Gemini等平台來輔助影像生成、惡意軟體開發、腳本混淆、後端基礎設施搭建以及入侵後的操作。
這種人工智慧輔助方法具有多項操作優勢。它有助於彌補技術技能方面的不足,加快開發週期,並減少對先前已識別的惡意軟體家族和可能有助於溯源的工具的依賴。
人工智慧在網路行動中的日益普及給防禦者帶來了巨大挑戰。攻擊者可以快速產生、修改或替換其工具集中的元件,從而降低依賴穩定技術指標和重複出現的惡意軟體痕跡的傳統歸因方法的有效性。
營運缺陷暴露出發展差距
儘管受益於人工智慧輔助開發,GREYVIBE 仍暴露出多項運作安全缺陷。研究人員發現 LegionRelay 中的設計缺陷無意中暴露了後端功能,從而揭示了該惡意軟體的內部運作機制。
此類錯誤在高度複雜的國家支持型組織中通常並不常見,這表明 GREYVIBE 可能並非傳統意義上的情報機構。相反,該組織似乎技術水平較低,但利用人工智慧技術來提升自身能力,使其超越了自身固有的技能水平。
網路犯罪關聯的指標
多項調查結果表明,GREYVIBE 與更廣泛的俄羅斯網路犯罪生態系統保持聯繫:
- 存取或使用與 TrickBot 團夥和 UAC-0098 有疑似聯繫的 ISO 建置實用程式。
- 在看似無關的網路犯罪活動中偵測到了 PhantomRelay 變種,包括在 2025 年 7 月至 2026 年 2 月期間進行的 Microsoft Teams 語音網路釣魚活動,以及在 2026 年 2 月至 3 月期間觀察到的採用 ClickFix 技術的 KongTuke 投遞活動。
- 上傳早期開發和測試樣品。
- 在開發工件命名約定中使用非正式的網路俚語,例如「letsrollboyos」、「totallyunsus」和「cuteuwu」。
這些指標支持中等程度的置信度評估,即 GREYVIBE 與網路犯罪網絡有實質關聯;同時支持低到中等程度的置信度評估,即目前某些成員可能參與或曾經參與網路犯罪活動。
模糊國家行動與犯罪行動之間的界限
GREYVIBE與俄羅斯政府之間確切的關係仍不明朗。有幾種可能性,包括網路犯罪人員被納入國家支持的組織、獨立行動者執行國家指示的任務,或形成一種結合了犯罪分子和國家相關人員的混合結構。
因此,GREYVIBE 處於傳統網路犯罪和政府相關網路行動之間的複雜位置。這種重疊使得歸因工作更加複雜,並凸顯了以經濟利益為動機的網路犯罪活動和國家支持的情報行動之間日益模糊的界線。
