Pesquisadores de cibersegurança descobriram um grupo de ameaça anteriormente não documentado chamado GreyVibe, que vem utilizando sistematicamente ferramentas de inteligência artificial generativa para apoiar ataques cibernéticos contra a Ucrânia desde pelo menos agosto de 2025. Pesquisadores dizem que a operação oferece uma visão de como futuras campanhas de hacking alinhadas a estados podem depender cada vez mais da IA para acelerar o desenvolvimento e expandir capacidades.
O grupo foi identificado por pesquisadores do WithSecure , que descrevem o GreyVibe como um ator de ameaça ligado à Rússia, focado em organizações militares, governamentais, civis e empresariais ucranianas. Investigadores disseram que as atividades do grupo estão de perto alinhadas com os interesses estratégicos russos relacionados à guerra em andamento na Ucrânia. Ao mesmo tempo, pesquisadores notaram evidências que sugerem que alguns membros podem ter experiência em cibercrime, em vez de operações tradicionais de inteligência estatal.
De acordo com o relatório, a GreyVibe utilizou extensivamente plataformas de IA, incluindo ChatGPT, Google Gemini e Ideogram AI, em múltiplas etapas de suas operações. Pesquisadores encontraram evidências de que a IA auxiliou na criação de iscas de phishing, desenvolvimento de sites falsos, codificação de malware, ferramentas de ofuscação, configuração de infraestrutura de comando e controle e atividades pós-compromisso.
O grupo utilizou vários métodos de ataque para infectar alvos. Essas incluíram campanhas de spear-phishing que entregavam arquivos ZIP e RAR maliciosos por meio de serviços de compartilhamento de arquivos, páginas CAPTCHA falsas e sites fraudulentos disfarçados de clubes adultos ucranianos. As vítimas frequentemente eram redirecionadas por meio de conteúdo convincente enquanto malware era instalado silenciosamente em segundo plano.
Pesquisadores identificaram múltiplas famílias de malwares ligadas ao GreyVibe, incluindo PhantomRelay e LegionRelay, dois trojans de acesso remoto personalizados usados para roubar dados e manter o acesso a sistemas comprometidos. O LegionRelay supostamente suporta roubo de credenciais de navegador, coleta de capturas de tela, exfiltração de arquivos, acesso remoto a desktop e extração de dados da plataforma de mensagens do Telegram e WhatsApp.
O GreyVibe também implantou um spyware Android conhecido como FallSpy em certas campanhas. O malware é projetado para coleta de inteligência e pode coletar contatos, registros de chamadas, informações de localização, detalhes do cartão SIM, dados de rede e arquivos de mídia armazenados em dispositivos infectados.
Apesar de suas operações agressivas, os pesquisadores caracterizaram o GreyVibe como apenas de baixa a moderada sofisticação. A WithSecure afirmou que o grupo cometeu repetidos erros operacionais de segurança e parecia fortemente dependente de código gerado por IA. Uma falha no LegionRelay teria permitido que pesquisadores monitorassem partes da infraestrutura do grupo e observassem o comportamento de alvo de vítimas por um período prolongado.
Os investigadores também descobriram indicadores que ligam o grupo ao ecossistema mais amplo do cibercrime. Isso incluía o uso de ferramentas de construção de malware associadas a atores ligados anteriormente ao TrickBot, envios de amostras de desenvolvimento para plataformas públicas de varredura e implantações isoladas de software de mineração de criptomoedas em sistemas infectados. Pesquisadores disseram que as descobertas sugerem que o GreyVibe pode envolver cibercriminosos atuais ou antigos que trabalham em apoio aos objetivos do Estado russo.
Embora pesquisadores não tenham conectado definitivamente o GreyVibe a nenhum grupo de ameaça previamente conhecido, alertam que a operação destaca como a IA generativa está reduzindo barreiras técnicas tanto para cibercriminosos quanto para atores alinhados a Estados. Ao usar IA para automatizar o desenvolvimento, criar infraestrutura nova e gerar novos malwares, grupos com recursos limitados podem expandir rapidamente suas capacidades operacionais enquanto dificultam a atribuição.