Investigadores en ciberseguridad han descubierto un grupo de amenazas previamente no documentado llamado GreyVibe, que ha estado utilizando sistemáticamente herramientas de inteligencia artificial generativa para apoyar ciberataques dirigidos a Ucrania desde al menos agosto de 2025. Los investigadores afirman que la operación ofrece una visión de cómo futuras campañas de hacking alineadas con estados podrían depender cada vez más de la IA para acelerar el desarrollo y ampliar sus capacidades.
El grupo fue identificado por investigadores de WithSecure , que describen a GreyVibe como un actor amenazante vinculado a Rusia centrado en organizaciones militares, gubernamentales, civiles y empresariales ucranianas. Los investigadores afirmaron que las actividades del grupo están estrechamente alineadas con los intereses estratégicos rusos relacionados con la guerra en curso en Ucrania. Al mismo tiempo, los investigadores señalaron evidencias que sugieren que algunos miembros podrían tener experiencia en ciberdelincuencia en lugar de operaciones tradicionales de inteligencia estatal.
Según el informe, GreyVibe utilizó extensamente plataformas de IA como ChatGPT, Google Gemini e Ideogram AI en múltiples etapas de sus operaciones. Los investigadores encontraron pruebas de que la IA ayudaba en la creación de señuelos de phishing, el desarrollo de sitios web falsos, la codificación de malware, herramientas de ofuscación, la configuración de infraestructuras de mando y control y actividades posteriores al compromiso.
El grupo empleó varios métodos de ataque para infectar a los objetivos. Estas incluían campañas de spear-phishing que entregaban archivos ZIP y RAR maliciosos a través de servicios de intercambio de archivos, páginas CAPTCHA falsas y sitios web fraudulentos disfrazados de clubes para adultos ucranianos. Las víctimas a menudo eran redirigidas mediante contenido señuelo convincente mientras el malware se instalaba silenciosamente en segundo plano.
Los investigadores identificaron múltiples familias de malware vinculadas a GreyVibe, incluyendo PhantomRelay y LegionRelay, dos troyanos de acceso remoto personalizados usados para robar datos y mantener el acceso a sistemas comprometidos. LegionRelay supuestamente soporta robo de credenciales de navegador, recogida de capturas de pantalla, exfiltración de archivos, acceso remoto al escritorio y extracción de datos de plataformas de mensajería de Telegram y WhatsApp.
GreyVibe también desplegó spyware Android conocido como FallSpy en ciertas campañas. El malware está diseñado para la recopilación de inteligencia y puede recopilar contactos, registros de llamadas, información de ubicación, detalles de tarjetas SIM, datos de red y archivos multimedia almacenados en dispositivos infectados.
A pesar de sus operaciones agresivas, los investigadores caracterizaron a GreyVibe como solo de baja a moderada sofisticación. WithSecure afirmó que el grupo cometió repetidamente errores de seguridad operativa y parecía depender en gran medida del código generado por IA. Un fallo de LegionRelay supuestamente permitió a los investigadores monitorizar partes de la infraestructura del grupo y observar el comportamiento de la búsqueda de víctimas durante un periodo prolongado.
Los investigadores también descubrieron indicadores que vinculan al grupo con el ecosistema más amplio del cibercrimen. Estos incluyeron el uso de herramientas de creación de malware asociadas con actores vinculados anteriormente a TrickBot, la subida de muestras de desarrollo a plataformas públicas de escaneo y el despliegue aislado de software de minería de criptomonedas en sistemas infectados. Los investigadores afirmaron que los hallazgos sugieren que GreyVibe podría involucrar a ciberdelincuentes actuales o anteriores que trabajan en apoyo de los objetivos del Estado ruso.
Aunque los investigadores no han vinculado de forma definitiva a GreyVibe con ningún grupo de amenaza previamente conocido, advierten que la operación pone de relieve cómo la IA generativa está reduciendo barreras técnicas tanto para los ciberdelincuentes como para los actores alineados con los Estados. Al utilizar IA para automatizar el desarrollo, crear infraestructuras frescas y generar nuevo malware, los grupos con recursos limitados pueden ampliar rápidamente sus capacidades operativas mientras dificultan la atribución.