Một nhóm đe dọa chưa từng được ghi nhận trước đây có tên là GREYVIBE đã được xác định là đứng sau các cuộc tấn công liên tục và dai dẳng nhắm vào Ukraine và các thực thể liên quan đến Ukraine kể từ ít nhất là tháng 8 năm 2025.
Theo WithSecure, GREYVIBE được đánh giá là một nhóm nói tiếng Nga, hoạt động chủ yếu trong múi giờ Nga. Các hoạt động của nhóm này phù hợp với lợi ích của Điện Kremlin, đặc biệt là trong các nỗ lực thu thập thông tin tình báo nhắm vào Ukraine trong bối cảnh cuộc xung đột Nga-Ukraine đang diễn ra.
"Nhóm này đã tận dụng nhiều vectơ tấn công khác nhau, bao gồm email spear-phishing, các trang CAPTCHA giả mạo và các trang web câu lạc bộ người lớn giả mạo tại Ukraine để phát tán mã độc đến nhiều nạn nhân khác nhau," nhà nghiên cứu Mohammad Kazem Hassan Nejad của WithSecure cho biết trong một phân tích. "Trong các chiến dịch này, nhóm đã dựa vào các công cụ gây nhiễu (obfuscators), trình nạp (loaders) và mã độc do chúng tự phát triển."
Dấu chân của các nạn nhân trải dài từ các tổ chức quân sự, chính phủ đến các tổ chức dân sự và doanh nghiệp. Mặc dù có các hoạt động liên quan đến quốc gia, GREYVIBE cũng chia sẻ mối liên kết với hệ sinh thái tội phạm mạng rộng lớn hơn của Nga thông qua một số thành viên được tin là những tay chơi tội phạm mạng hiện tại hoặc trước đây.
Tăng cường sức mạnh bằng AI và mô hình ngôn ngữ lớn (LLMs)
Ngoài ra, có bằng chứng chỉ ra rằng đối thủ đang dựa vào trí tuệ nhân tạo tạo sinh (GenAI) và các mô hình ngôn ngữ lớn (LLMs) để tăng cường hoạt động của mình. Tổng hợp lại, WithSecure mô tả đây là một "nhóm có trình độ tinh vi từ thấp đến trung bình", thường mắc các sai lầm về bảo mật hoạt động (OPSEC) nhưng lại sử dụng các công cụ hỗ trợ bởi AI để tăng cường nỗ lực phát triển mã độc.
GREYVIBE đã bị phát hiện sử dụng nhiều chuỗi tấn công khác nhau nhắm vào các mục tiêu của mình:
- PhantomMail: Sử dụng email spear-phishing để phát tán các liên kết dẫn đến tệp lưu trữ ZIP hoặc RAR độc hại được lưu trữ trên Google Drive và 4sync. Các tệp này chứa trình nạp dựa trên JavaScript để khởi chạy một tài liệu mồi nhử và PhantomRelay - một trojan truy cập từ xa (RAT) dựa trên PowerShell được thiết kế để thu thập thông tin máy chủ và thực thi các tập lệnh PowerShell cũng như lệnh Windows.
- PhantomClick: Sử dụng các trang CAPTCHA giả mạo theo kiểu ClickFix trên các tên miền mạo danh Zoom và LAPAS để lừa người dùng chạy các lệnh khởi đầu chuỗi lây nhiễm PhantomRelay.
- PrincessClub: Sử dụng các trang web câu lạc bộ người lớn giả mạo của Ukraine để phát tán FallSpy trên Android và PhantomRelayV1 hoặc LegionRelay trên Windows. Các phiên bản sau của trang web mồi nhử còn giới thiệu tính năng gọi trực tiếp dựa trên WebRTC để ghi lại âm thanh và video của nạn nhân. Trong khi FallSpy là một phần mềm gián điệp Android có khả năng thu thập dữ liệu nhạy cảm, LegionRelay là một RAT dựa trên PowerShell nhẹ hỗ trợ liệt kê tệp, đánh cắp dữ liệu trình duyệt, Telegram, WhatsApp và thiết lập truy cập RDP.
- DroneLink: Sử dụng các trang web mạo danh các tổ chức từ thiện ủng hộ Lực lượng Vũ trang Ukraine để phát tán WireGuard và LegionRelay.
- Nebo: Sử dụng mẫu FallSpy bắt chước màn hình đăng nhập bằng tiếng Nga, có khả năng nhằm lừa quân nhân Ukraine nghĩ rằng họ đang truy cập vào một thiết bị đầu cuối quân sự của Nga.
Sự đa dạng của các vectơ phát tán và công cụ được sử dụng trong các cuộc tấn công có thể xuất phát từ việc sử dụng các nền tảng AI như Ideogram AI, OpenAI ChatGPT và Google Gemini để hỗ trợ tạo hình ảnh và phát triển LegionRelay, cũng như các tập lệnh gây nhiễu, cơ sở hạ tầng backend và các lệnh sau khi xâm nhập.
WithSecure cho biết việc GREYVIBE sử dụng AI mang lại nhiều lợi thế, bao gồm lấp đầy khoảng trống về chuyên môn kỹ thuật, đẩy nhanh chu kỳ phát triển và giảm sự phụ thuộc vào các mã độc hoặc công cụ đã biết trước đó vốn có thể giúp ích cho việc quy trách nhiệm (attribution).
"Nếu một tác nhân có thể thường xuyên tạo, cấu trúc lại hoặc thay thế các thành phần trong dấu ấn hoạt động của mình với sự hỗ trợ của AI, các phương pháp phân cụm truyền thống dựa trên các dấu vết kỹ thuật ổn định có thể trở nên ít đáng tin cậy hơn theo thời gian," Nejad nhận định.
Tuy nhiên, việc sử dụng AI cũng có tác dụng phụ là đưa ra các lỗi thiết kế vào LegionRelay, làm lộ chức năng backend của mã độc. Đây là một dấu hiệu khác cho thấy GREYVIBE có thể không phải là một thực thể quốc gia thuần túy, vì các đối thủ tinh vi khó có thể mắc phải những sai lầm như vậy.
Mối liên hệ với hệ sinh thái tội phạm mạng
Mối liên kết của nhóm tin tặc này với hệ sinh thái tội phạm mạng dựa trên nhiều yếu tố:
- Khả năng truy cập và sử dụng trình tạo ISO có mối liên hệ nghi vấn với băng nhóm TrickBot và UAC-0098.
- Sự hiện diện của các biến thể PhantomRelay trong các cụm hoạt động tội phạm mạng dường như không liên quan, chẳng hạn như chiến dịch vishing trên Microsoft Teams từ tháng 7/2025 đến tháng 2/2026.
- Việc tải các mẫu thử nghiệm và phát triển sớm lên VirusTotal.
- Sử dụng các thuật ngữ lóng trên internet như "letsrollboyos", "totallyunsus" và "cuteuwu" làm quy ước đặt tên cho các thành phần phát triển.
- Triển khai trình khai thác XMRig miner trên một số ít máy bị nhiễm LegionRelay.
WithSecure kết luận: "Nhóm này nằm trong vùng xám giữa tội phạm mạng và hoạt động liên kết với nhà nước, làm phức tạp các nỗ lực quy trách nhiệm và làm mờ đi ranh giới truyền thống giữa các danh mục này."