Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
GREYVIBE to nowo opisany klaster zagrożeń powiązany z rosyjskim ekosystemem operacji cybernetycznych, którego aktywność wymierzona jest przede wszystkim w Ukrainę oraz podmioty związane z administracją, wojskiem, biznesem i sektorem cywilnym. Na tle innych kampanii grupa wyróżnia się szerokim wykorzystaniem generatywnej sztucznej inteligencji i modeli językowych do przygotowywania infrastruktury, elementów malware, wabików oraz komponentów wykorzystywanych po uzyskaniu dostępu do systemów ofiar.
To istotna zmiana z perspektywy obrony, ponieważ AI pozwala napastnikom szybciej modyfikować narzędzia, tworzyć wiarygodniejsze treści socjotechniczne i sprawniej odbudowywać kampanie po wykryciu. W efekcie nawet aktor, który nie prezentuje najwyższego poziomu dojrzałości operacyjnej, może utrzymywać wysoką presję na cele strategiczne.
W skrócie
GREYVIBE prowadzi wielowektorowe operacje obejmujące spear phishing, fałszywe strony CAPTCHA, spreparowane serwisy podszywające się pod organizacje charytatywne oraz witryny socjotechniczne kierowane do użytkowników Windows i Androida. W kampaniach grupy pojawiają się własne narzędzia, w tym PhantomRelay, LegionRelay oraz mobilny spyware FallSpy.
- Ataki są silnie ukierunkowane na pozyskiwanie informacji.
- Grupa łączy techniki typowe dla APT i cyberprzestępczości.
- W wielu etapach cyklu ataku wykorzystywana jest AI.
- Kampanie obejmują zarówno urządzenia desktopowe, jak i mobilne.
- Mimo licznych błędów operacyjnych zagrożenie pozostaje poważne.
Kontekst / historia
Badacze oceniają, że aktywność GREYVIBE trwa co najmniej od sierpnia 2025 roku. W tym czasie operatorzy rozwijali kilka odrębnych łańcuchów infekcji, które łączyły wspólne komponenty malware, podobna infrastruktura dowodzenia i kontroli oraz zbliżone techniki operacyjne. Dobór ofiar wskazuje, że nadrzędnym celem było pozyskiwanie danych wywiadowczych i budowanie dostępu do środowisk o znaczeniu strategicznym.
Analiza przypisuje działania grupy do rosyjskich interesów związanych z wojną przeciwko Ukrainie. Jednocześnie zespół odpowiedzialny za kampanie nie prezentuje dyscypliny typowej dla najbardziej zaawansowanych aktorów państwowych. Widoczne są ślady języka rosyjskiego, konfiguracje środowisk powiązane ze strefą UTC+3 oraz cechy kojarzone z wcześniejszymi klastrami cyberprzestępczymi. To wzmacnia hipotezę, że GREYVIBE funkcjonuje w modelu hybrydowym, łączącym interes państwowy z praktykami środowiska cybercrime.
Analiza techniczna
Najważniejszym wyróżnikiem GREYVIBE jest wykorzystanie AI na wielu etapach operacji. Obejmuje to generowanie obrazów używanych w kampaniach socjotechnicznych, tworzenie stron wabików, przygotowywanie skryptów obfuskacyjnych, budowę komponentów malware oraz wspieranie zaplecza serwerowego. Z punktu widzenia zespołów bezpieczeństwa oznacza to większą zmienność techniczną artefaktów i trudniejszą korelację incydentów na podstawie klasycznych wskaźników.
W kampanii PhantomMail atakujący wykorzystywali wiadomości spear phishingowe z odnośnikami do złośliwych archiwów przechowywanych w zewnętrznych usługach plikowych. Po uruchomieniu archiwum ofiara otrzymywała loader napisany w JavaScript lub spakowany przy użyciu PyInstaller. Mechanizm wyświetlał dokument-wabik albo komunikat błędu, a równolegle inicjował infekcję malware PhantomRelay.
PhantomClick bazował na technice przypominającej ClickFix. Ofiara trafiała na spreparowaną stronę CAPTCHA podszywającą się pod usługę konferencyjną lub platformę współpracy, po czym była nakłaniana do ręcznego uruchomienia poleceń pod pretekstem przejścia weryfikacji. W praktyce prowadziło to do zainstalowania PhantomRelay i uruchomienia kolejnych etapów kompromitacji.
Szczególnie nietypowy był zestaw działań określany jako PrincessClub. W tym scenariuszu grupa tworzyła fałszywe ukraińskie serwisy o charakterze randkowym lub erotycznym, które dostarczały FallSpy na Androida oraz warianty PhantomRelay lub LegionRelay na Windows. W późniejszych iteracjach witryny zyskały funkcję połączeń WebRTC, co mogło służyć do przechwytywania obrazu i dźwięku w czasie rzeczywistym. Taki model łączy dostarczanie malware z elementami zbierania informacji przypominającymi działania HUMINT.
Kampania DroneLink wykorzystywała strony podszywające się pod fundacje wspierające ukraińskie siły zbrojne i inicjatywy dronowe. W tych przypadkach ofiary otrzymywały komponenty powiązane z WireGuard oraz lekki RAT LegionRelay. Z kolei aktywność nazwana Nebo obejmowała próbki FallSpy oraz strony imitujące rosyjski wojskowy ekran logowania, prawdopodobnie w celu zwiększenia wiarygodności wabików wobec ukraińskiego personelu wojskowego.
PhantomRelay to modułowy RAT oparty na PowerShell, wykorzystujący komunikację WebSocket i pozwalający na wykonywanie poleceń systemowych oraz skryptów dostarczanych dynamicznie przez serwer C2. FallSpy działa jako spyware na Androidzie i umożliwia zbieranie kontaktów, historii połączeń, listy aplikacji, danych o urządzeniu, lokalizacji oraz plików multimedialnych. LegionRelay komunikuje się z infrastrukturą C2 przez REST API i wspiera działania po kompromitacji, takie jak enumeracja plików, eksfiltracja danych, wykonywanie zrzutów ekranu czy przygotowanie trwałego dostępu zdalnego.
W operacjach wykorzystywano również autorskie loadery i obfuskatory, w tym LOOKVALPS, LOOKVALJS, DAYLIGHT i TEASOUP. Częsta rotacja tych komponentów wskazuje na aktywne dostosowywanie narzędzi w celu utrudnienia detekcji. Jednocześnie właśnie tutaj ujawniły się błędy operatorów, takie jak wady projektowe LegionRelay, przesyłanie próbek testowych do publicznych serwisów analitycznych oraz pozostawianie artefaktów developerskich o nieformalnych nazwach. Te zaniedbania znacząco pomogły badaczom odtworzyć przebieg kampanii.
Konsekwencje / ryzyko
Ryzyko związane z GREYVIBE wynika z elastyczności kampanii i szerokiego zakresu celów. Atakujący dopasowują wabiki do kontekstu ofiary, korzystają z różnych kanałów wejścia i obejmują działaniami zarówno stacje robocze, jak i urządzenia mobilne. To zwiększa prawdopodobieństwo skutecznego przełamania zabezpieczeń i utrudnia budowanie jednolitego modelu obrony.
Dla organizacji największym zagrożeniem pozostaje cyberwywiad. Przejęcie komunikacji, dokumentów, danych lokalizacyjnych, zawartości urządzeń oraz informacji z aplikacji komunikacyjnych może prowadzić do ujawnienia informacji operacyjnych, identyfikacji personelu, mapowania relacji wewnętrznych oraz przygotowania kolejnych operacji, w tym działań dezinformacyjnych lub wspierających aktywność kinetyczną.
Dodatkowym problemem jest wykorzystanie AI do przyspieszania tworzenia nowych wariantów narzędzi. Nawet jeśli operatorzy popełniają błędy, zdolność do szybkiego generowania kodu, obrazów i infrastruktury skraca czas potrzebny do odtworzenia kampanii po wykryciu. Oznacza to, że mniej dojrzały aktor może utrzymywać skuteczność dzięki skali, szybkości adaptacji i niskim kosztom modyfikacji zaplecza.
Rekomendacje
Organizacje narażone na podobne działania powinny wdrożyć wielowarstwową ochronę obejmującą zarówno komponenty techniczne, jak i obszar świadomości użytkowników. Kluczowe jest ograniczanie możliwości uruchamiania ryzykownych skryptów, wzmacnianie kontroli ruchu wychodzącego oraz monitorowanie nietypowych zachowań na punktach końcowych.
- Wzmocnić ochronę poczty i blokować archiwa oraz skrypty wysokiego ryzyka.
- Monitorować uruchomienia PowerShell, Windows Script Host i ręcznie wklejane polecenia.
- Inspekcjonować ruch do świeżo zarejestrowanych domen oraz nietypowych usług plikowych.
- Uwzględnić w szkoleniach scenariusze ClickFix, fałszywe CAPTCHA, serwisy randkowe i spreparowane strony charytatywne.
- Na urządzeniach mobilnych ograniczyć instalację aplikacji spoza oficjalnych źródeł i egzekwować polityki MDM.
- W środowiskach podwyższonego ryzyka rozdzielać urządzenia służbowe i prywatne.
- Zbierać szeroką telemetrię z punktów końcowych, aby wykrywać niestandardowe loadery i lekkie RAT-y.
Podsumowanie
GREYVIBE pokazuje, że skuteczne operacje cybernetyczne nie muszą być prowadzone wyłącznie przez aktorów o najwyższym poziomie zaawansowania. Dzięki systematycznemu wykorzystaniu AI grupa zwiększa tempo tworzenia narzędzi, poprawia wiarygodność socjotechniki i szybciej adaptuje kampanie do zmieniających się warunków.
Połączenie rosyjskiego kontekstu wywiadowczego, autorskiego malware, błędów operacyjnych i cech charakterystycznych dla cyberprzestępczości czyni z GREYVIBE zagrożenie trudne do jednoznacznej klasyfikacji, ale realnie niebezpieczne. Dla zespołów bezpieczeństwa oznacza to konieczność łączenia klasycznej ochrony technicznej z analizą behawioralną oraz regularnym przygotowywaniem użytkowników na coraz bardziej przekonujące techniki manipulacji.
Źródła
- Security Affairs – Meet GREYVIBE, the Russian-Linked Hacking Group Using AI to Target Ukraine and Still Making Rookie Mistakes — https://securityaffairs.com/192877/apt/meet-greyvibe-the-russian-linked-hacking-group-using-ai-to-target-ukraine-and-still-making-rookie-mistakes.html
- WithSecure Labs – GREYVIBE: A Russia-nexus group leveraging AI across state-aligned operations — https://labs.withsecure.com/publications/greyvibe