Siber güvenlik araştırmacıları, en az Ağustos 2025’ten beri Ukrayna’yı hedef alan siber saldırıları desteklemek için sistematik olarak üretken yapay zeka araçlarını kullanan daha önce belgelenmemiş bir tehdit grubu olan GreyVibe’ı ortaya çıkardı. Araştırmacılar, operasyonun gelecekteki devlet destekli hackleme kampanyalarının geliştirmeyi hızlandırmak ve yetenekleri genişletmek için yapay zekaya giderek daha fazla dayanabileceğine dair bir bakış sunduğunu söylüyor.
Grup, GreyVibe’ı Rusya bağlantılı ve Ukrayna askeri, hükümet, sivil ve iş kuruluşlarına odaklanan bir tehdit aktörü olarak tanımlayan araştırmacılar WithSecure tarafından tanımlandı. Soruşturmacılar, grubun faaliyetlerinin Ukrayna’daki devam eden savaşla ilgili Rus stratejik çıkarlarıyla yakından örtüştüğünü belirtti. Aynı zamanda, araştırmacılar bazı üyelerin geleneksel devlet istihbarat operasyonları yerine siber suç geçmişine sahip olabileceğine dair kanıtlar belirtti.
Rapora göre, GreyVibe ChatGPT, Google Gemini ve Ideogram AI gibi yapay zeka platformlarını operasyonlarının birçok aşamasında kapsamlı şekilde kullandı. Araştırmacılar, yapay zekanın oltalama yemi oluşturma, sahte web sitesi geliştirme, kötü amaçlı yazılım kodlama, gizlenme araçları, komut-kontrol altyapısı kurulumu ve tehlike sonrası faaliyetlerde yardımcı olduğuna dair kanıtlar buldu.
Grup, hedefleri enfekte etmek için çeşitli saldırı yöntemleri kullandı. Bunlar arasında, dosya paylaşım hizmetleri aracılığıyla kötü amaçlı ZIP ve RAR arşivleri yayan spear-phishing kampanyaları, sahte CAPTCHA sayfaları ve Ukraynalı yetişkin kulüpleri kılığına girmiş sahte web siteleri vardı. Mağdurlar genellikle ikna edici aldatıcı içeriklerle yönlendirilirken, arka planda sessizce kötü amaçlı yazılım kuruluyordu.
Araştırmacılar, GreyVibe ile bağlantılı birçok kötü amaçlı yazılım ailesini tespit etti; bunlar arasında veri çalmak ve tehlikeye giren sistemlere erişimi sürdürmek için kullanılan iki özel uzaktan erişim trojanı olan PhantomRelay ve LegionRelay de var. LegionRelay’in tarayıcı kimlik bilgileri hırsızlığı, ekran görüntüleri toplama, dosya çıkarma, uzaktan masaüstü erişimi ve Telegram ile WhatsApp’tan mesajlaşma platformu verilerinin çıkarılmasını desteklediği iddia ediliyor.
GreyVibe ayrıca bazı kampanyalarda FallSpy olarak bilinen Android casus yazılımını da yayımladı. Zararlı yazılım, istihbarat toplamak için tasarlanmıştır ve enfekte cihazlarda saklanan kişileri, çağrı kayıtlarını, konum bilgilerini, SIM kart detaylarını, ağ verilerini ve medya dosyalarını toplayabilir.
Agresif operasyonlarına rağmen, araştırmacılar GreyVibe’ı yalnızca düşük ila orta seviyede gelişmiş olarak tanımladı. WithSecure, grubun operasyonel güvenlik hatalarını defalarca yaptığını ve yapay zeka tarafından oluşturulan koda büyük ölçüde bağımlı göründüğünü belirtti. LegionRelay’deki bir kusur, araştırmacıların grubun altyapısının bazı bölümlerini izlemesine ve mağdur hedef davranışlarını uzun süre gözlemlemesine olanak sağladığı bildirildi.
Araştırmacılar ayrıca grubu daha geniş siber suç ekosistemine bağlayan işaretler de keşfetti. Bunlar arasında, eski TrickBot bağlantılı aktörlerle ilişkili kötü amaçlı yazılım oluşturma araçlarının kullanımı, kamuya açık tarama platformlarına geliştirme örneklerinin yüklenmesi ve enfekte sistemlerde kripto para madenciliği yazılımının izole şekilde yerleştirilmesi yer alıyordu. Araştırmacılar, bulguların GreyVibe’ın Rus devlet hedeflerini desteklemek için çalışan mevcut veya eski siber suçluları içerebileceğini gösterdiğini belirtti.
Araştırmacılar GreyVibe’ı daha önce bilinen herhangi bir tehdit grubuyla kesin olarak bağlamamış olmasa da, operasyonun üretken yapay zekanın siber suç ve devlet eğilimli aktörler için teknik engelleri azalttığını vurguladığını uyarıyorlar. Yapay zekayı geliştirmeyi otomatikleştirmek, yeni altyapı oluşturmak ve yeni kötü amaçlı yazılım oluşturmak için kullanarak, sınırlı kaynaklara sahip gruplar operasyonel yeteneklerini hızla genişletebilir ve atıflamayı zorlaştırabilir.