Wprowadzenie do problemu / definicja
Rosnąca dostępność generatywnej sztucznej inteligencji zmienia sposób prowadzenia operacji cybernetycznych. Narzędzia takie jak modele językowe i systemy generujące obrazy są dziś wykorzystywane nie tylko do automatyzacji procesów biznesowych, ale również do przygotowywania kampanii phishingowych, budowy zaplecza technicznego oraz rozwijania komponentów złośliwego oprogramowania.
Przypadek grupy GREYVIBE pokazuje, że AI przestała być wyłącznie eksperymentalnym dodatkiem do działań ofensywnych. Według ustaleń analityków narzędzia takie jak ChatGPT, Gemini i Ideogram AI były używane operacyjnie do wspierania ataków wymierzonych głównie w podmioty związane z Ukrainą.
W skrócie
- GREYVIBE to grupa aktywna co najmniej od sierpnia 2025 roku, powiązana operacyjnie z rosyjskojęzycznym środowiskiem zagrożeń.
- Ataki były wymierzone w cele wojskowe, rządowe, cywilne i biznesowe związane z Ukrainą.
- Grupa wykorzystywała generatywną AI do tworzenia przynęt, stron socjotechnicznych, materiałów graficznych oraz elementów technicznych wspierających malware.
- W działaniach obserwowano spear phishing, fałszywe strony CAPTCHA, fikcyjne serwisy randkowe oraz strony podszywające się pod inicjatywy pomocowe i wojskowe.
Kontekst / historia
Analitycy opisują GREYVIBE jako aktora działającego wielowektorowo, którego aktywność wpisuje się w rosyjskie interesy państwowe, zwłaszcza w obszarze wywiadowczym powiązanym z wojną przeciwko Ukrainie. Jednocześnie nie ma pełnej pewności, że jest to klasyczna, ściśle państwowa operacja. Bardziej prawdopodobny wydaje się model hybrydowy, łączący elementy środowiska cyberprzestępczego i działań zgodnych z interesami państwa.
Badacze zidentyfikowali kilka odrębnych kampanii. W ramach PhantomMail rozsyłano wiadomości spear phishingowe z odnośnikami do złośliwych archiwów ZIP i RAR hostowanych na zewnętrznych platformach. PhantomClick opierał się na fałszywych stronach weryfikacji CAPTCHA i technikach ClickFix, które skłaniały ofiary do ręcznego uruchamiania poleceń. Kampania PrincessClub wykorzystywała fikcyjne ukraińskie serwisy randkowe i strony dla dorosłych do dystrybucji malware na Androida i Windows. Obserwowano także działania DroneLink, podszywające się pod inicjatywy wspierające ukraińskie siły zbrojne, oraz kampanię Nebo, w której przynęty imitowały rosyjskie wojskowe systemy łączności.
Analiza techniczna
Najważniejszym elementem aktywności GREYVIBE jest systematyczne wykorzystanie AI w wielu fazach ataku. Narzędzia generatywne miały wspierać przygotowanie realistycznych treści socjotechnicznych, grafik oraz komponentów technicznych używanych w kampaniach. To istotna zmiana jakościowa, ponieważ oznacza pełną integrację AI z cyklem życia operacji ofensywnej.
W arsenale grupy znalazł się między innymi PhantomRelay, modułowy zdalny trojan oparty na PowerShell. Malware komunikował się z infrastrukturą C2 za pomocą WebSocketów i umożliwiał profilowanie systemu, dynamiczne ładowanie dodatkowych skryptów oraz wykonywanie poleceń PowerShell i komend systemowych. Drugim ważnym narzędziem był LegionRelay, również oparty na PowerShell, wykorzystujący REST API do kontaktu z serwerem C2. Służył do eksfiltracji plików, przechwytywania zrzutów ekranu, kradzieży danych z przeglądarek, pozyskiwania informacji z Telegrama i WhatsAppa oraz przygotowywania dostępu RDP.
W kampaniach mobilnych stosowano FallSpy, spyware na Androida przeznaczone do zbierania danych wywiadowczych. Oprogramowanie pozyskiwało kontakty, logi połączeń, informacje o urządzeniu i sieci, dane lokalizacyjne, pliki multimedialne oraz informacje związane z kartą SIM. Taki profil działania wskazuje na charakter nadzorczy i rozpoznawczy, a nie typowo finansowy.
Badacze zwrócili również uwagę na obfuskatory i loadery, takie jak LOOKVALPS, LOOKVALJS, DAYLIGHT i TEASOUP. Część tych narzędzi mogła powstać przy wsparciu modeli językowych, co oznacza, że AI mogła nie tylko zwiększać jakość socjotechniki, ale także przyspieszać rozwój nowych wariantów komponentów utrudniających analizę i klasyfikację próbek.
Interesujący jest także ślad operacyjny grupy. W artefaktach deweloperskich, panelach administracyjnych i komentarzach w kodzie pojawiał się język rosyjski, a część systemów działała zgodnie ze strefą UTC+3. Jednocześnie odnotowano błędy operacyjne, w tym publikowanie próbek testowych na publicznych platformach skanujących, co sugeruje niższy poziom dyscypliny niż w przypadku najbardziej dojrzałych grup państwowych.
Konsekwencje / ryzyko
Przypadek GREYVIBE pokazuje, że generatywna AI obniża próg wejścia dla bardziej zaawansowanych operacji cybernetycznych. Nawet aktor o umiarkowanej dojrzałości może dziś szybciej przygotowywać wiarygodne przynęty, modyfikować kod, rozwijać własne narzędzia i ograniczać liczbę powtarzalnych artefaktów, które ułatwiają obrońcom detekcję i atrybucję.
Dla organizacji oznacza to wzrost ryzyka na kilku poziomach. Po pierwsze, socjotechnika staje się bardziej przekonująca językowo i lepiej dopasowana do kontekstu ofiary. Po drugie, modularne malware oparte na PowerShell i skryptach dynamicznie pobieranych z serwerów C2 może ograniczać skuteczność klasycznych narzędzi antywirusowych. Po trzecie, połączenie kanałów webowych, mobilnych i komunikatorów zwiększa powierzchnię ataku, szczególnie w środowiskach rozproszonych oraz tam, gdzie wykorzystywane są prywatne urządzenia.
Dodatkowym wyzwaniem jest zacieranie granicy między cyberprzestępczością a działaniami wspierającymi cele państwowe. W praktyce oznacza to większą zmienność taktyk, szybsze dostosowywanie kampanii i trudniejszą ocenę motywacji przeciwnika.
Rekomendacje
Organizacje powinny rozwijać wielowarstwowe podejście do ochrony, obejmujące zarówno prewencję, jak i detekcję działań po naruszeniu. Szczególne znaczenie ma ograniczanie skuteczności phishingu poprzez filtrowanie poczty, analizę archiwów i załączników, blokowanie ryzykownych typów plików oraz regularne szkolenia użytkowników.
- Monitorować nadużycia PowerShell oraz uruchamianie skryptów z nietypowych lokalizacji.
- Analizować komunikację WebSocket i REST do nieznanych hostów.
- Ograniczać użycie interpreterów skryptowych tam, gdzie nie są niezbędne biznesowo.
- Wdrażać polityki MDM/MAM dla urządzeń mobilnych mających dostęp do danych organizacyjnych.
- Blokować sideloading aplikacji poza zaufanymi kanałami dystrybucji.
- Rozszerzać playbooki SOC o scenariusze związane z fałszywymi CAPTCHA, przynętami randkowymi i stronami podszywającymi się pod inicjatywy pomocowe.
- W threat huntingu większy nacisk kłaść na detekcję zachowań, korelację zdarzeń i analizę sekwencji działań operatora, a nie wyłącznie na sygnatury statyczne.
Podsumowanie
GREYVIBE to przykład współczesnego aktora zagrożeń, który łączy klasyczne techniki socjotechniczne z generatywną AI w celu zwiększenia skali, szybkości i wiarygodności operacji. Analizowane kampanie pokazują, że AI staje się praktycznym mnożnikiem siły zarówno na etapie przygotowania przynęt, jak i podczas rozwoju obfuskatorów, loaderów oraz malware.
Dla zespołów bezpieczeństwa to sygnał, że tradycyjne modele detekcji wymagają aktualizacji. Coraz większe znaczenie ma analiza behawioralna, monitoring skryptów oraz korelacja zdarzeń między pocztą, przeglądarką, punktami końcowymi i urządzeniami mobilnymi.
Źródła
- BleepingComputer – GreyVibe hackers use ChatGPT, Gemini to power cyberattacks – https://www.bleepingcomputer.com/news/security/greyvibe-hackers-use-chatgpt-gemini-to-power-cyberattacks/
- WithSecure Labs – GREYVIBE: A Russia-nexus group leveraging AI across state-aligned operations – https://labs.withsecure.com/publications/greyvibe