Un grup de amenințări cibernetice necunoscut până acum, cu legături în Rusia, a exploatat instrumente de inteligență artificială generativă în fiecare etapă a operațiunilor sale de atac cibernetic împotriva țintelor ucrainene, potrivit unor noi cercetări publicate săptămâna aceasta de firma de securitate cibernetică WithSecure.
Spionaj alimentat de Inteligență Artificială
Grupul, urmărit sub numele GreyVibe, este activ cel puțin din august 2025 și vizează organizații militare, guvernamentale, civile și de afaceri din Ucraina, potrivit WithSecure, într-un raport publicat pe 27 mai. Cercetătorii au descoperit activitatea în ianuarie 2026 și au constatat că grupul utilizează ChatGPT de la OpenAI, Gemini de la Google și Ideogram AI pentru a genera momeală de phishing, a construi site-uri false, a dezvolta programe malware personalizate și a crea instrumente de post-compromitere.
Legătura cu Rusia este susținută de panouri de malware scrise în rusă, comentarii în artefactele de cod și servere de comandă și control configurate la ora Moscovei (UTC+3), deși WithSecure s-a abținut să o clasifice drept o operațiune formală a unui stat-națiune.
Cinci lanțuri de campanii
WithSecure a documentat cinci campanii de atac distincte. PhantomMail folosește e-mailuri de tip spear-phishing cu arhive malițioase deghizate în documente ale guvernului și sectorului energetic ucrainean. PhantomClick implementează pagini false de tip CAPTCHA care păcălesc victimele să execute comenzi de auto-infectare, redirecționându-le apoi spre întâlniri legitime pe Zoom, astfel încât acestea să nu bănuiască niciodată că au fost compromise. PrincessClub — probabil cea mai elaborată — utilizează site-uri false de dating pentru adulți și persoane false pe Telegram pentru a atrage personalul militar ucrainean să instaleze spyware, inclusiv apeluri video în timp real cu persoane reale pentru a câștiga încrederea victimelor.
Alte două campanii, DroneLink și Nebo, folosesc respectiv site-uri false de caritate pentru militarii ucraineni și portale de autentificare falsificate ale armatei ruse.
Grupul implementează programe malware personalizate, printre care LegionRelay și PhantomRelay, ambele troieni de acces de la distanță bazați pe PowerShell, dezvoltați cel mai probabil cu ajutorul inteligenței artificiale. LegionRelay poate fura fișiere, captura capturi de ecran, extrage credențiale din browsere și date de mesagerie din Telegram și WhatsApp, și poate configura accesul la desktop de la distanță. Pe dispozitivele Android, grupul utilizează spyware-ul FallSpy pentru a colecta contacte, jurnale de apeluri, date de localizare și fișiere media.
Origini în criminalitate cibernetică, misiune aliniată intereselor statului rus
În ciuda faptului că acționează în concordanță cu interesele statului rus, GreyVibe „nu a demonstrat nivelul de sofisticare și disciplină operațională asociate în mod obișnuit actorilor statali maturi”, a remarcat WithSecure. Unele dovezi leagă grupul de foști criminali cibernetici din rețeaua TrickBot, care au vizat Ucraina la începutul invaziei ruse, iar operatorii au instalat mineri de criptomonede pe unele mașini ale victimelor — lucru neobișnuit pentru grupurile susținute de state.
Christine Beherasko, de la WithSecure, a declarat că firma consideră că GreyVibe este „angajat” de guvernul rus, nu că face parte din acesta în mod direct. Grupul rămâne activ, cu campanii observate cel mai recent în aprilie 2026, iar membrii săi nu au fost identificați. Cercetătorii au afirmat că GreyVibe reprezintă un exemplu clar al modului în care inteligența artificială generativă le permite actorilor cu abilități reduse să „depășească propriile limite” — accelerând operațiunile și complicând atribuirea acestora în mai multe etape ale ciclului de atac.
Surse: