Новая группировка, связанная с Россией: GREYVIBE атакует Украину с помощью GenAI и самодельных загрузчиков

Неизвестный ранее злоумышленник, получивший название GREYVIBE, совершает продолжительные атаки на Украину и связанные с ней структуры с августа 2025 года. Как сообщает издание The Hacker News со ссылкой на экспертов платформы кибербезопасности WithSecure, группировка является русскоязычной, действует в российском часовом поясе, а её деятельность соответствует государственным интересам Кремля, в частности — сбору разведданных об Украине в контексте текущей войны.

В комментарии SecPost представитель пророссийской хактивистской группировки «Смешарики» заявил, что ранее не слышал о группировке GREYVIBE. Он также отметил, что в последнее время появились три новые команды, но, по его словам, «там старые знакомые». Собеседник добавил: «Сейчас все используют нейросети, это упрощает многие процессы. Мы сейчас тоже пытаемся автоматизировать нашу работу, чтобы избавиться от рутины».

Представитель другой пророссийской хактивистской группировки Earthimpact Incubator напротив, отмечает, что в его кругах «это сейчас самая громкая тема, особенно после того как WithSecure отчет выкатили». «Ребята постарались», — отмечает собеседник.

По словам представителя Earthimpact Incubator, «GRAYVIBE реально грамотно LLM впаяли во все процессы, не просто для прикола нейросеть дернули, а полноценно используют на всех этапах».

В качестве векторов атак GREYVIBE использовала фишинговые письма, поддельные CAPTCHA-страницы и мошеннические сайты украинских клубов для взрослых. В этих кампаниях группировка, как сообщили исследователи, полагалась на собственные обфускаторы, загрузчики и вредоносные программы.

Среди жертв — военные, государственные, гражданские и коммерческие организации. Эксперты WithSecure отмечает, что, несмотря на деятельность в интересах государства, GREYVIBE связана с широкой российской киберпреступной экосистемой через некоторых своих участников, которые, предположительно, являются действующими или бывшими киберпреступниками.

Эксперты оценивают уровень технической сложности группировки как низкий или средний, так как присутствуют ошибки в операционной безопасности. В WithSecure также отмечают, что GREYVIBE использует генеративный искусственный интеллект (GenAI) и большие языковые модели (LLM) для усиления операций, включая улучшение разработки вредоносного ПО.

В материале отмечается, что GREYVIBE использует несколько цепочек атак:

• PhantomMail — фишинговые письма со ссылками на ZIP/RAR-архивы в Google Drive и 4sync, содержащие JavaScript-загрузчики.
• PhantomRelay — RAT на PowerShell для сбора информации о хосте и выполнения скриптов и команд Windows.
• PhantomClick — поддельные CAPTCHA-страницы в стиле ClickFix для запуска команды, инициирующей заражение PhantomRelay.
• PrincessClub — поддельные сайты украинских взрослых клубов для доставки FallSpy (Android) и PhantomRelayV1 или LegionRelay (Windows). Более поздние версии сайтов добавляли функцию живого звонка через WebRTC для захвата аудио и видео.
• DroneLink — сайты под видом благотворительных фондов ВСУ для доставки WireGuard и LegionRelay.
• Nebo — образец FallSpy, имитирующий экран входа на русском языке.

Разнообразие векторов доставки и инструментов, как указывается в материале, связано с использованием ИИ-платформ, включая Ideogram AI, OpenAI ChatGPT и Google Gemini, для генерации изображений, разработки LegionRelay, скриптов обфускации, загрузчиков, бэкенд-инфраструктуры и пост-эксплуатационных команд.

Помимо этого, в исследовании WithSecure отмечается, что использование ИИ привело к появлению конструктивных ошибок в LegionRelay, раскрывающих бэкенд-функциональность вредоносного ПО. Связи группы с киберпреступной средой, по данным WithSecure, основаны на нескольких факторах: возможный доступ к ISO-сборщику, связанному с TrickBot и UAC-0098; наличие вариантов PhantomRelay в не связанных с киберпреступностью кластерах; загрузка тестовых образцов на VirusTotal; использование интернет-сленга в именах артефактов; развертывание майнера XMRig на небольшом числе машин, зараженных LegionRelay.

«Комменты в коде на русском, сервера по московскому времени стоят. Но самое интересное что они в «серой зоне». Не госхакеры, у них ошибок [много], эксплойты через VirusTotal тестили. Но и не просто бандиты. Похоже что там бывшие black hat хакеры сидят, которых сейчас под госзадачи привлекают. Такие как мы, активные патриоты», — отмечает собеседник из Earthimpact Incubator.

Точный характер отношений с российским государством, как сообщили в WithSecure, остаётся неясным. Группа находится в серой зоне между киберпреступностью и деятельностью в интересах государства, что усложняет определение того, кто именно стоит за атаками.

В Earthimpact Incubator отмечают, что сейчас число пророссийских группировок растет. Собеседник говорит о появлении «института патриотического хакерства». Еще год назад этим занимались энтузиасты, которые работали самостоятельно, но сейчас формируются структуры, которые работают в интересах страны — на это, по словам эксперта, указывает координация действий.

Другой фактор — это доступность нейросетей. Раньше, по словам эксперта, чтобы написать нормальный фишинг под конкретную цель — нужно было либо иметь лингвиста, либо самому знать язык. Сейчас нейросеть может написать текст хоть на украинском, хоть на английском, еще и с учетом местного менталитета. «Нейросеть ускоряет атаку в разы, отсекает всю рутину. Любой админ с руками из нужного места прочитав пару гайдов может стать довольно сильным», — говорит собеседник.

У российского хактивистского сообщества, по версии Earthimpact Incubator, двоякое отношение к использованию LLM. Есть позитивные прагматические стороны: скорость разработки существенно выросла, «еще пару месяцев назад написать обфускатор на питоне или простой RAT было делом на пару дней». А LegionRelay, используемый GRAYVIBE, как полагает собеседник, был и вовсе написан за вечер. Также технология серьезно помогает в обратном инжиниринге чужих вредоносов.

Но хватает и нареканий, и, на взгляд собеседника, GRAYVIBE — это яркий пример.

«Пока они код через ИИ клепали, они наделали таких дыр в логике что любой смог за их бэкендом следить и даже их же данные у них тырить. ИИ не чинит кривые руки, он их только маскирует до поры до времени, — говорит представитель Earthimpact Incubator. — ИИ ускоряет известные тактики вроде фишинга, обфускации, скриптинга. Элитные группы которые пишут сложнейшие эксплойты в основном полагаются на свои мозги, а не на ChatGPT».