Cybersicherheitsforscher haben eine bisher undokumentierte Bedrohungsgruppe namens GreyVibe entdeckt, die seit mindestens August 2025 systematisch generative künstliche Intelligenz einsetzt, um Cyberangriffe auf die Ukraine zu unterstützen. Forscher sagen, dass die Operation einen Einblick gibt, wie zukünftige staatlich ausgerichtete Hacking-Kampagnen zunehmend auf KI angewiesen sein könnten, um die Entwicklung zu beschleunigen und Fähigkeiten zu erweitern.
Die Gruppe wurde von Forschern bei WithSecure identifiziert, die GreyVibe als einen mit Russland verbundenen Bedrohungsakteur beschreiben, der sich auf ukrainisches Militär, Regierung, zivile und wirtschaftliche Organisationen konzentriert. Ermittler sagten, die Aktivitäten der Gruppe stehen eng im Zusammenhang mit den strategischen Interessen Russlands im Zusammenhang mit dem andauernden Krieg in der Ukraine. Gleichzeitig stellten Forscher Hinweise darauf hin, dass einige Mitglieder eher einen Hintergrund im Bereich Cyberkriminalität als in traditionellen staatlichen Geheimdienstoperationen haben.
Laut dem Bericht nutzte GreyVibe KI-Plattformen wie ChatGPT, Google Gemini und Ideogram AI in mehreren Phasen seines Betriebs umfassend. Forscher fanden Hinweise darauf, dass KI bei der Erstellung von Phishing-Ködern, der Entwicklung gefälschter Websites, der Malware-Programmierung, Verschleierungswerkzeugen, dem Aufbau von Kommando- und Kontrollinfrastrukturen und Aktivitäten nach der Kompromittierung unterstützte.
Die Gruppe setzte verschiedene Angriffsmethoden ein, um Ziele zu infizieren. Dazu gehörten Spear-Phishing-Kampagnen, die bösartige ZIP- und RAR-Archive über Dateifreigabedienste lieferten, gefälschte CAPTCHA-Seiten und betrügerische Webseiten, die sich als ukrainische Erwachsenenclubs tarnten. Opfer wurden oft durch überzeugende Täuschungsinhalte umgeleitet, während Malware still im Hintergrund installiert wurde.
Forscher identifizierten mehrere Malware-Familien, die mit GreyVibe verbunden sind, darunter PhantomRelay und LegionRelay, zwei maßgeschneiderte Fernzugriffs-Trojaner, die zum Diebstahl von Daten und zur Aufrechterhaltung von kompromittierten Systemen verwendet werden. LegionRelay unterstützt Berichten zufolge den Diebstahl von Browser-Zugangsdaten, die Sammlung von Screenshots, die Exfiltration von Dateien, den Zugriff auf den Remote Desktop sowie die Extraktion von Messaging-Plattformdaten aus Telegram und WhatsApp.
GreyVibe setzte außerdem Android-Spyware namens FallSpy in bestimmten Kampagnen ein. Die Malware ist für die Informationsbeschaffung konzipiert und kann Kontakte, Anrufprotokolle, Standortinformationen, SIM-Kartendetails, Netzwerkdaten und Mediendateien auf infizierten Geräten sammeln.
Trotz seiner aggressiven Operationen charakterisierten die Forscher GreyVibe nur als wenig bis mäßig ausgefeilt. WithSecure sagte, die Gruppe habe wiederholt operative Sicherheitsfehler gemacht und schien stark auf KI-generierten Code angewiesen zu sein. Ein Fehler in LegionRelay soll es Forschern ermöglicht haben, Teile der Infrastruktur der Gruppe zu überwachen und das Verhalten der Opferangriffe über einen längeren Zeitraum zu beobachten.
Ermittler entdeckten außerdem Hinweise, die die Gruppe mit dem breiteren Cyberkriminalitäts-Ökosystem verbinden. Dazu gehörten der Einsatz von Malware-Aufbautools, die mit ehemaligen TrickBot-Akteuren verbunden sind, das Hochladen von Entwicklungsproben auf öffentliche Scan-Plattformen sowie isolierte Bereitstellungen von Kryptowährungs-Mining-Software auf infizierten Systemen. Forscher sagten, die Ergebnisse deuten darauf hin, dass GreyVibe aktuelle oder ehemalige Cyberkriminelle einbeziehen könnte, die die Ziele des russischen Staates unterstützen.
Obwohl Forscher GreyVibe nicht eindeutig mit einer zuvor bekannten Bedrohungsgruppe in Verbindung gebracht haben, warnen sie, dass die Operation aufzeigt, wie generative KI technische Hürden für Cyberkriminelle und staatlich ausgerichtete Akteure gleichermaßen senkt. Durch den Einsatz von KI zur Automatisierung der Entwicklung, zum Aufbau neuer Infrastruktur und zur Generierung neuer Malware können Gruppen mit begrenzten Ressourcen ihre operativen Fähigkeiten schnell ausbauen und gleichzeitig die Attributierung erschweren.