Використання штучного інтелекту має численні переваги, включаючи подолання прогалин у технічній експертизі, прискорення життєвого циклу розробки та зменшення залежності від раніше відомого шкідливого програмного забезпечення або інструментів, які могли б допомогти в атрибуції

Нова проросійська хакерська група GREYVIBE здійснює кібератаки на основі штучного інтелекту проти військових, урядових, цивільних та бізнес-організацій України. Про це повідомляє Foreign Ukraine із посиланням на The Hacker News.

«Група використовувала кілька векторів атак, включаючи фішингові електронні листи, підроблені сторінки з капчею та шахрайські веб-сайти українських клубів для дорослих, для доставки шкідливого програмного забезпечення різноманітним жертвам», – заявив Мохаммад Казем Хассан Неджад, дослідник WithSecure.

Зловмисники покладаються на генеративний штучний інтелект (GenAI) та моделі великих мов (LLM) для посилення своїх операцій.

GREYVIBE використовує кілька ланцюжків атак проти своїх цілей:

• PhantomMail, який використовує фішингові електронні листи для розповсюдження посилань, які вказують на шкідливі ZIP- або RAR-архіви, розміщені на Google Диску та 4sync, що містять завантажувачі на основі JavaScript для запуску документа-приманки, та PhantomRelay, троян віддаленого доступу (RAT) на базі PowerShell, призначений для профілювання хоста та запуску скриптів PowerShell і команд Windows.
• PhantomClick, який використовує підроблені сторінки CAPTCHA у стилі ClickFix на фальшивих доменах, маскуючись під Zoom та LAPAS, щоб обманом змусити користувачів виконувати команди, які ініціюють ланцюжок зараження PhantomRelay.
• PrincessClub, який використовує підроблені веб-сайти українських клубів для дорослих для доставки FallSpy на Android та PhantomRelayV1 або LegionRelay на Windows, з наступними ітераціями сайтів-приманок, які впроваджують функцію живого дзвінка на основі WebRTC для захоплення аудіо та відео жертви. Хоча FallSpy — це шпигунське програмне забезпечення для Android, яке здатне збирати конфіденційні дані зі скомпрометованого пристрою, LegionRelay — це легкий RAT на базі PowerShell, який підтримує перерахування файлів, вилучення файлів, створення скріншотів, крадіжку даних браузера, вилучення даних Telegram та WhatsApp, а також налаштування доступу RDP. PhantomRelayV1 — це варіант PhantomRelay зі спеціальним механізмом персистентності сторожового таймера.
• DroneLink, який використовує веб-сайти, маскуючись під благодійні фонди, які підтримують Збройні Сили України, для доставки WireGuard та LegionRelay.
• Nebo, який використовує зразок FallSpy, що імітує екран входу російською мовою, ймовірно, намагаючись обдурити українських військовослужбовців, змусивши їх думати, що вони отримують доступ до російського військового терміналу.

Різноманітність векторів доставки та інструментів, які використовуються в атаках, ймовірно, пов’язана з платформами штучного інтелекту, включаючи Ideogram AI, OpenAI ChatGPT та Google Gemini, для допомоги у створенні зображень та розробці LegionRelay, а також скриптів обфускації та завантаження, інфраструктури серверної частини та команд після компрометації.

Використання штучного інтелекту має численні переваги, включаючи подолання прогалин у технічній експертизі, прискорення життєвого циклу розробки та зменшення залежності від раніше відомого шкідливого програмного забезпечення або інструментів, які могли б допомогти в атрибуції.

«Якщо актор може часто генерувати, рефакторувати або замінювати компоненти свого операційного сліду за допомогою штучного інтелекту, традиційні методи кластеризації, які базуються на стабільних технічних артефактах, з часом можуть стати менш надійними», — пояснив Неджад.

Тим не менш, використання штучного інтелекту також мало побічний ефект у вигляді внесення недоліків у LegionRelay, що викривало функціональність серверної частини шкідливого програмного забезпечення. Це ще одна ознака того, що GREYVIBE може не бути чисто державним актором, оскільки витончені супротивники навряд чи зроблять такі помилки.

Зв’язки хакерської групи GREYVIBE з екосистемою кіберзлочинців ґрунтуються на кількох факторах:

• Можливий доступ до та використання конструктора ISO з підозрою у зв’язках з бандою TrickBot та UAC-0098;
• Наявність варіантів PhantomRelay у, здавалося б, не пов’язаних між собою кластерах кіберзлочинної діяльності, таких як фішингова кампанія голосового зв’язку Microsoft Teams у липні 2025 року – лютому 2026 року, а також ланцюжок доставки KongTuke у лютому-березні 2026 року, який використовував ClickFix для розповсюдження шкідливого програмного забезпечення;
• Завантаження ранніх зразків розробки і тестування до VirusTotal;
• Використання інтернет-сленгових термінів, таких як «letsrollboyos», «totallyunsus» та «cuteuwu», як умов іменування артефактів розробки;
• Розгортання майнера XMRig на невеликій кількості машин, заражених LegionRelay.