I ricercatori in cybersecurity hanno scoperto un gruppo di minaccia precedentemente non documentato chiamato GreyVibe, che utilizza sistematicamente strumenti di intelligenza artificiale generativa per supportare attacchi informatici contro l’Ucraina almeno da agosto 2025. I ricercatori affermano che l’operazione offre uno sguardo su come le future campagne di hacking allineate agli stati possano sempre più affidarsi all’IA per accelerare lo sviluppo ed espandere le capacità.
Il gruppo è stato identificato dai ricercatori di WithSecure , che descrivono GreyVibe come un attore minaccioso legato alla Russia, focalizzato su organizzazioni militari, governative, civili e imprenditoriali ucraine. Gli investigatori hanno affermato che le attività del gruppo sono strettamente allineate agli interessi strategici russi legati alla guerra in corso in Ucraina. Allo stesso tempo, i ricercatori hanno notato evidenze che suggeriscono che alcuni membri possano avere un background nel cybercrimine piuttosto che nelle tradizionali operazioni di intelligence statale.
Secondo il rapporto, GreyVibe ha utilizzato ampiamente piattaforme di IA tra cui ChatGPT, Google Gemini e Ideogram AI in molteplici fasi delle sue operazioni. I ricercatori hanno trovato prove che l’IA ha aiutato nella creazione di esche di phishing, nello sviluppo di siti web finti, nella codifica di malware, negli strumenti di offuscamento, nell’installazione dell’infrastruttura di comando e controllo e nelle attività post-compromessa.
Il gruppo impiegò diversi metodi di attacco per infettare i bersagli. Queste includevano campagne di spear-phishing che consegnavano archivi ZIP e RAR dannosi tramite servizi di condivisione file, pagine CAPTCHA false e siti web fraudolenti mascherati da club per adulti ucraini. Le vittime venivano spesso reindirizzate tramite contenuti convincenti e esca mentre il malware veniva installato silenziosamente in background.
I ricercatori hanno identificato molteplici famiglie di malware collegate a GreyVibe, tra cui PhantomRelay e LegionRelay, due trojan personalizzati per l’accesso remoto utilizzati per rubare dati e mantenere l’accesso a sistemi compromessi. LegionRelay supporta il furto di credenziali del browser, la raccolta di screenshot, l’esfiltrazione di file, l’accesso remoto al desktop e l’estrazione dei dati delle piattaforme di messaggistica da Telegram e WhatsApp.
GreyVibe ha inoltre distribuito uno spyware Android noto come FallSpy in alcune campagne. Il malware è progettato per la raccolta di informazioni e può raccogliere contatti, registri delle chiamate, informazioni sulla posizione, dettagli della SIM, dati di rete e file multimediali memorizzati su dispositivi infetti.
Nonostante le sue operazioni aggressive, i ricercatori hanno definito GreyVibe solo da poco a moderatamente sofisticato. WithSecure ha detto che il gruppo ha commesso ripetuti errori di sicurezza operativa e sembrava fortemente dipendente dal codice generato dall’IA. Un difetto di LegionRelay avrebbe permesso ai ricercatori di monitorare parti dell’infrastruttura del gruppo e osservare il comportamento di targeting delle vittime per un periodo prolungato.
Gli investigatori hanno anche scoperto indicatori che collegano il gruppo all’ecosistema più ampio della criminalità informatica. Questi includevano l’uso di strumenti per la creazione di malware associati a ex attori collegati a TrickBot, il caricamento di campioni di sviluppo su piattaforme pubbliche di scansione e la distribuzione isolata di software di mining di criptovalute su sistemi infetti. I ricercatori hanno detto che i risultati suggeriscono che GreyVibe possa coinvolgere attuali o ex criminali informatici che lavorano a sostegno degli obiettivi dello stato russo.
Sebbene i ricercatori non abbiano collegato in modo definitivo GreyVibe a nessun gruppo di minaccia precedentemente noto, avvertono che l’operazione mette in evidenza come l’IA generativa stia abbassando le barriere tecniche sia per gli attori informatici che per quelli allineati agli stati. Utilizzando l’IA per automatizzare lo sviluppo, creare nuove infrastrutture e generare nuovi malware, i gruppi con risorse limitate possono espandere rapidamente le proprie capacità operative rendendo l’attribuzione più difficile.