Des chercheurs en cybersécurité ont découvert un groupe de menace jusque-là non documenté appelé GreyVibe, qui utilise systématiquement des outils d’intelligence artificielle générative pour soutenir des cyberattaques ciblant l’Ukraine depuis au moins août 2025. Les chercheurs affirment que cette opération offre un aperçu de la manière dont les futures campagnes de piratage alignées sur les États pourraient de plus en plus s’appuyer sur l’IA pour accélérer le développement et étendre les capacités.
Le groupe a été identifié par des chercheurs de WithSecure , qui décrivent GreyVibe comme un acteur de menace lié à la Russie, ciblant les organisations militaires, gouvernementales, civiles et économiques ukrainiennes. Les enquêteurs ont déclaré que les activités du groupe correspondent étroitement aux intérêts stratégiques russes liés à la guerre en cours en Ukraine. Parallèlement, les chercheurs ont noté des preuves suggérant que certains membres pourraient avoir des antécédents en cybercriminalité plutôt qu’en opérations traditionnelles de renseignement étatique.
Selon le rapport, GreyVibe a largement utilisé des plateformes d’IA telles que ChatGPT, Google Gemini et Ideogram AI à plusieurs étapes de ses opérations. Les chercheurs ont trouvé des preuves que l’IA a aidé à la création de leurres de phishing, au développement de faux sites web, au codage de malwares, aux outils d’obscurcissement, à la mise en place d’infrastructures de commandement et de contrôle, ainsi qu’aux activités post-compromis.
Le groupe a utilisé plusieurs méthodes d’attaque pour infecter les cibles. Cela incluait des campagnes de spear-phishing diffusant des archives ZIP et RAR malveillantes via des services de partage de fichiers, de fausses pages CAPTCHA et des sites web frauduleux déguisés en clubs pour adultes ukrainiens. Les victimes étaient souvent redirigées via des contenus leurres convaincants tandis que des logiciels malveillants étaient installés silencieusement en arrière-plan.
Les chercheurs ont identifié plusieurs familles de malwares liées à GreyVibe, dont PhantomRelay et LegionRelay, deux chevaux de Troie d’accès à distance personnalisés utilisés pour voler des données et maintenir l’accès à des systèmes compromis. LegionRelay supporterait le vol d’identifiants des navigateurs, la collecte de captures d’écran, l’exfiltration de fichiers, l’accès à distance au bureau et l’extraction des données des plateformes de messagerie depuis Telegram et WhatsApp.
GreyVibe a également déployé un logiciel espion Android appelé FallSpy dans certaines campagnes. Le malware est conçu pour la collecte de renseignements et peut collecter des contacts, des journaux d’appels, des informations de localisation, des détails de carte SIM, des données réseau et des fichiers médias stockés sur des appareils infectés.
Malgré ses opérations agressives, les chercheurs ont qualifié GreyVibe de sophistiqué seulement de faible à modéré. WithSecure a indiqué que le groupe avait commis à plusieurs reprises des erreurs de sécurité opérationnelle et semblait fortement dépendant du code généré par l’IA. Un défaut de LegionRelay aurait permis aux chercheurs de surveiller certaines parties de l’infrastructure du groupe et d’observer le comportement de ciblage des victimes sur une longue période.
Les enquêteurs ont également découvert des indicateurs reliant le groupe à l’écosystème plus large de la cybercriminalité. Cela incluait l’utilisation d’outils de création de logiciels malveillants associés à d’anciens acteurs liés à TrickBot, le téléchargement d’échantillons de développement sur des plateformes de scan publiques, ainsi que le déploiement isolé de logiciels de minage de cryptomonnaies sur des systèmes infectés. Les chercheurs ont indiqué que les résultats suggèrent que GreyVibe pourrait impliquer des cybercriminels actuels ou anciens travaillant en faveur des objectifs de l’État russe.
Bien que les chercheurs n’aient pas encore établi un lien définitif entre GreyVibe et aucun groupe de menace déjà connu, ils avertissent que l’opération met en lumière la manière dont l’IA générative réduit les barrières techniques tant pour les cybercriminels que pour les acteurs alignés sur les États. En utilisant l’IA pour automatiser le développement, créer de nouvelles infrastructures et générer de nouveaux malwares, les groupes disposant de ressources limitées peuvent rapidement étendre leurs capacités opérationnelles tout en compliquant l’attribution de la situation.