Cybersecurityonderzoekers hebben een voorheen ongedocumenteerde dreigingsgroep ontdekt genaamd GreyVibe, die sinds minstens augustus 2025 systematisch generatieve kunstmatige intelligentietools gebruikt om cyberaanvallen op Oekraïne te ondersteunen. Onderzoekers zeggen dat de operatie een inkijkje biedt in hoe toekomstige door de staat gebonden hackcampagnes steeds meer op AI kunnen vertrouwen om de ontwikkeling te versnellen en de mogelijkheden uit te breiden.
De groep werd geïdentificeerd door onderzoekers van WithSecure , die GreyVibe beschrijven als een aan Rusland gelieerde dreigingsactor gericht gericht op Oekraïense militaire, overheids-, civiele en zakelijke organisaties. Onderzoekers zeiden dat de activiteiten van de groep nauw aansluiten bij de strategische belangen van Rusland met betrekking tot de aanhoudende oorlog in Oekraïne. Tegelijkertijd merkten onderzoekers bewijs op dat suggereert dat sommige leden mogelijk een achtergrond hebben in cybercriminaliteit in plaats van traditionele staatsinlichtingenoperaties.
Volgens het rapport heeft GreyVibe uitgebreid gebruik gemaakt van AI-platforms, waaronder ChatGPT, Google Gemini en Ideogram AI, in meerdere fasen van zijn operaties. Onderzoekers vonden bewijs dat AI hielp bij het creëren van phishing-lokmiddelen, het ontwikkelen van nepwebsites, malwarecodering, obfuscatietools, het opzetten van command-and-control-infrastructuur en activiteiten na een compromittering.
De groep gebruikte verschillende aanvalsmethoden om doelwitten te infecteren. Deze omvatten spear-phishingcampagnes die kwaadaardige ZIP- en RAR-archieven via bestandsdelingsdiensten verspreidden, nep-CAPTCHA-pagina’s en frauduleuze websites die zich voordeden als Oekraïense volwassenenclubs. Slachtoffers werden vaak omgeleid via overtuigende afleidingscontent, terwijl malware stilletjes op de achtergrond werd geïnstalleerd.
Onderzoekers identificeerden meerdere malwarefamilies die aan GreyVibe zijn gekoppeld, waaronder PhantomRelay en LegionRelay, twee aangepaste trojans voor externe toegang die worden gebruikt om data te stelen en toegang te behouden tot gecompromitteerde systemen. LegionRelay ondersteunt naar verluidt diefstal van browsergegevens, het verzamelen van screenshots, bestandsexfiltratie, toegang tot remote desktop en het extraheren van berichtenplatformgegevens van Telegram en WhatsApp.
GreyVibe implementeerde ook Android-spyware genaamd FallSpy in bepaalde campagnes. De malware is ontworpen voor inlichtingenverzameling en kan contacten, bellogboeken, locatiegegevens, simkaartgegevens, netwerkgegevens en mediabestanden verzamelen die op geïnfecteerde apparaten zijn opgeslagen.
Ondanks de agressieve operaties karakteriseerden onderzoekers GreyVibe slechts als matig tot matig geavanceerd. WithSecure zei dat de groep herhaaldelijk operationele beveiligingsfouten maakte en sterk afhankelijk leek van AI-gegenereerde code. Een fout in LegionRelay stelde onderzoekers naar verluidt in staat delen van de infrastructuur van de groep te monitoren en het gedrag van slachtoffers over een langere periode te observeren.
Onderzoekers ontdekten ook indicatoren die de groep verbinden met het bredere cybercrime-ecosysteem. Deze omvatten het gebruik van malware-ontwikkeltools die verbonden zijn aan voormalige TrickBot-gekoppelde actoren, het uploaden van ontwikkelingsvoorbeelden naar openbare scanplatforms en geïsoleerde implementaties van cryptocurrency mining-software op geïnfecteerde systemen. Onderzoekers zeiden dat de bevindingen suggereren dat GreyVibe huidige of voormalige cybercriminelen mogelijk inzetten ter ondersteuning van de Russische staatsdoelstellingen.
Hoewel onderzoekers GreyVibe niet definitief hebben gekoppeld aan een eerder bekende dreigingsgroep, waarschuwen ze dat de operatie benadrukt hoe generatieve AI technische barrières verlaagt voor zowel cybercriminele als staatsgeoriënteerde actoren. Door AI te gebruiken om ontwikkeling te automatiseren, nieuwe infrastructuur te creëren en nieuwe malware te genereren, kunnen groepen met beperkte middelen hun operationele capaciteiten snel uitbreiden, terwijl toeschrijving moeilijker wordt.