Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
GREYVIBE to nowo opisana grupa zagrożeń prowadząca operacje wymierzone w Ukrainę oraz podmioty powiązane z sektorem wojskowym, publicznym, cywilnym i biznesowym. Jej działalność wyróżnia łączenie klasycznych technik cyberwywiadowczych z wykorzystaniem narzędzi opartych na generatywnej sztucznej inteligencji, co pozwala szybciej przygotowywać infrastrukturę, przynęty socjotechniczne i komponenty złośliwego oprogramowania.
Z perspektywy obrońców jest to istotny sygnał zmiany w krajobrazie zagrożeń. Automatyzacja części procesu operacyjnego przez modele AI skraca czas potrzebny na tworzenie nowych wariantów malware i utrudnia wykrywanie kampanii wyłącznie na podstawie znanych sygnatur.
W skrócie
- GREYVIBE prowadzi aktywne operacje co najmniej od sierpnia 2025 roku.
- Grupa wykorzystuje spear phishing, fałszywe strony CAPTCHA, strony podszywające się pod ukraińskie podmioty oraz malware na Windows i Androida.
- W arsenale aktora znalazły się m.in. PhantomRelay, LegionRelay i FallSpy.
- Badacze wskazują, że modele AI i LLM wspierają rozwój elementów operacyjnych, obfuskację i przygotowanie infrastruktury.
- Celem działań wydaje się przede wszystkim pozyskiwanie informacji wywiadowczych oraz utrzymywanie dostępu do środowisk ofiar.
Kontekst / historia
GREYVIBE wpisuje się w szerszy krajobraz operacji prowadzonych w interesie Federacji Rosyjskiej w kontekście wojny rosyjsko-ukraińskiej. Profil ofiar sugeruje ukierunkowanie na długotrwałe rozpoznanie i pozyskiwanie danych, a nie wyłącznie na destrukcję systemów czy szybki zysk finansowy.
Jednocześnie grupa nie sprawia wrażenia w pełni dojrzałego, jednolitego zespołu państwowego. Analitycy zwracają uwagę na błędy operacyjne, ślady testowych wersji malware oraz relacje z szerszym ekosystemem cyberprzestępczym. Taki model hybrydowy utrudnia jednoznaczną atrybucję i pokazuje, że granica między klasycznym APT a grupą przestępczą staje się coraz mniej wyraźna.
Analiza techniczna
GREYVIBE korzysta z kilku łańcuchów infekcji dostosowanych do rodzaju ofiary i wykorzystywanej platformy. W kampanii określanej jako PhantomMail stosowano wiadomości spear phishingowe zawierające odnośniki do archiwów ZIP lub RAR. Wewnątrz znajdował się loader JavaScript, który uruchamiał dokument-wabik i wdrażał komponent PhantomRelay. Ten pełnił rolę zdalnego trojana dostępowego opartego na PowerShell, umożliwiającego profilowanie hosta oraz wykonywanie poleceń systemowych.
Wariant PhantomClick bazował na stronach podszywających się pod legalne usługi i wykorzystywał mechanikę fałszywego CAPTCHA w stylu ClickFix. Ofiara była nakłaniana do samodzielnego uruchomienia poleceń, co prowadziło do wdrożenia kolejnego etapu infekcji. To przykład skutecznego połączenia socjotechniki z techniką living-off-the-land, ponieważ część działań wykonywano przy użyciu natywnych mechanizmów Windows.
Kampania PrincessClub wykorzystywała fałszywe strony ukraińskich klubów dla dorosłych. W zależności od urządzenia ofiara otrzymywała spyware FallSpy dla Androida albo malware PhantomRelayV1 i LegionRelay dla Windows. Późniejsze wersje stron zawierały też funkcję połączenia na żywo opartą na WebRTC, co mogło zwiększać wiarygodność przynęty i wspierać przechwytywanie audio lub wideo.
FallSpy został opisany jako spyware dla Androida nastawiony na pozyskiwanie wrażliwych danych z urządzenia. LegionRelay to z kolei lekki RAT oparty na PowerShell, obsługujący enumerację plików, eksfiltrację danych, wykonywanie zrzutów ekranu, kradzież danych z przeglądarek, pozyskiwanie informacji z komunikatorów oraz konfigurację dostępu RDP. PhantomRelayV1 rozwija te możliwości o mechanizmy trwałości, w tym niestandardowy watchdog.
W łańcuchu DroneLink atakujący wykorzystywali strony podszywające się pod fundacje charytatywne wspierające ukraińskie siły zbrojne. Celem było dostarczenie komponentów takich jak WireGuard i LegionRelay, co może wskazywać na próbę zestawienia trwałego kanału komunikacyjnego lub tunelowania ruchu po skutecznej kompromitacji.
Opisano również kampanię Nebo, w której próbka FallSpy imitowała rosyjskojęzyczny ekran logowania. Taki zabieg mógł służyć dezorientacji ofiar i budowaniu wrażenia pracy w wiarygodnym środowisku.
Najciekawszym aspektem technicznym pozostaje wykorzystanie AI do wspierania rozwoju operacji. Badacze wskazali, że generatywna sztuczna inteligencja mogła być używana do tworzenia grafik, rozwijania komponentów LegionRelay, przygotowywania loaderów i skryptów obfuskacyjnych, budowy zaplecza infrastrukturalnego oraz opracowywania komend wykorzystywanych po uzyskaniu dostępu. Jednocześnie analiza próbek ujawniła błędy projektowe i ślady niedojrzałości, co pokazuje, że przyspieszenie developmentu nie zawsze oznacza wysoką jakość operacyjną.
Konsekwencje / ryzyko
Działania GREYVIBE zwiększają presję na organizacje funkcjonujące w regionach objętych konfliktem oraz na podmioty współpracujące z administracją, wojskiem i sektorem pomocowym. Zagrożenie nie ogranicza się do utraty poufności danych. Obejmuje także długotrwałe rozpoznanie środowiska, kradzież danych uwierzytelniających, przejęcie komunikacji oraz wykorzystanie legalnych kanałów zdalnego dostępu do dalszej penetracji infrastruktury.
Szczególnie niebezpieczne jest łączenie wielu wektorów dostępu: phishingu, stron-wabików, infekcji mobilnych oraz komponentów PowerShell wdrażanych na stacjach roboczych. Taka wielowarstwowość zwiększa odporność kampanii na punktowe działania obronne i utrudnia pełne odtworzenie przebiegu incydentu.
Dodatkowym wyzwaniem jest rozwój malware wspomagany przez AI. Jeżeli aktor potrafi szybko przebudowywać loadery, skrypty i infrastrukturę, tradycyjne metody detekcji oparte na stałych sygnaturach mogą okazać się niewystarczające. Dla zespołów SOC oznacza to konieczność większego oparcia się na analizie zachowań, korelacji telemetrii i wykrywaniu anomalii.
Rekomendacje
Organizacje narażone na podobne kampanie powinny w pierwszej kolejności wzmocnić ochronę poczty i komunikacji użytkowników. W praktyce oznacza to rygorystyczne filtrowanie załączników i archiwów, sandboxing wiadomości oraz wdrożenie mechanizmów wykrywania phishingu ukierunkowanego.
W środowiskach Windows warto ograniczyć wykonywanie nieautoryzowanych skryptów PowerShell, monitorować uruchamianie interpreterów skryptowych oraz wykrywać nietypowe sekwencje poleceń kopiowanych przez użytkownika do okien dialogowych i terminali. Szkolenia z zakresu awareness powinny obejmować nie tylko klasyczne wiadomości phishingowe, ale także scenariusze fałszywych stron CAPTCHA i technik ClickFix.
Niezbędne jest również monitorowanie anomalii związanych z RDP, tworzeniem tuneli sieciowych, wykorzystaniem narzędzi zdalnego dostępu oraz próbami eksfiltracji danych z przeglądarek i komunikatorów. W przypadku urządzeń mobilnych należy egzekwować polityki MDM, ograniczać instalację aplikacji spoza zaufanych źródeł i analizować uprawnienia aplikacji pod kątem dostępu do wiadomości, mikrofonu, aparatu i pamięci urządzenia.
- Budować reguły behawioralne dla uruchomień JavaScript z archiwów pobranych z internetu.
- Monitorować nietypową aktywność PowerShell po otwarciu dokumentów lub stron phishingowych.
- Wykrywać połączenia WebRTC inicjowane przez mało znane domeny.
- Analizować nagłe tworzenie zdalnych kanałów administracyjnych i tuneli.
- Łączyć telemetrię z hostów, poczty, proxy, EDR i urządzeń mobilnych.
Podsumowanie
GREYVIBE pokazuje, że współczesne operacje cyberwywiadowcze coraz częściej łączą klasyczne techniki infekcji z szybkim rozwojem komponentów wspomaganym przez sztuczną inteligencję. Grupa atakuje cele związane z Ukrainą, wykorzystuje zróżnicowane łańcuchy dostępu i działa na styku cyberprzestępczości oraz aktywności powiązanej z interesami państwowymi.
Dla obrońców najważniejszy wniosek jest praktyczny: sama znajomość nazw malware nie wystarcza. Skuteczna obrona wymaga monitorowania zachowań, ograniczania możliwości wykonywania skryptów, wzmacniania bezpieczeństwa urządzeń mobilnych oraz ciągłego dostosowywania detekcji do kampanii, które mogą dynamicznie zmieniać swoje artefakty techniczne dzięki użyciu AI.