GreyVibe: هكذا يُشعل الذكاء الاصطناعي موجة تجسس إلكتروني جديدة مرتبطة بروسيا

ربطت WithSecure بين خمس حملات متميزة لـ GreyVibe من خلال تتبع البنية التحتية المشتركة والبرمجيات الخبيثة وأنماط العمليات. تستهدف كل حملة ثغرة محددة، من صندوق البريد الوارد إلى الهاتف الذكي.

• PhantomMail: حملة تصيد موجّه تنتحل شخصية وكالات حكومية وهيئات طاقة أوكرانية. يتلقى الضحايا رسائل بريد إلكتروني تحتوي على روابط لأرشيفات ZIP أو RAR مستضافة على Google Drive أو 4sync. يؤدي فتح الملف إلى نشر سلسلة عدوى PhantomRelay بينما يخفي الهجومَ طُعمٌ - مثل ملف PDF رسمي مزيف أو رسالة خطأ .
• PhantomClick: تطور في أساليب التصيد، تستخدم هذه الحملة تقنية ClickFix. يُستدرج الضحايا لتشغيل أوامر PowerShell الخبيثة بأنفسهم من خلال مطالبات CAPTCHA مزيفة أو فحوصات أمان Cloudflare بعد النقر على رابط من ملف PDF خادع، والذي قد ينضم في الواقع إلى اجتماع Zoom حقيقي لتجنب الشكوك .
• PrincessClub: تستهدف هذه العملية الأفراد للمراقبة عبر الهواتف المحمولة. ينتحل المشغلون شخصية جهات اتصال على Telegram ويوجهون الضحايا إلى مواقع محتوى للبالغين مزيفة تُسلم برمجية التجسس FallSpy لنظام أندرويد .
• DroneLink: حملة مُصممة خصيصًا للتجسس على كيانات الدفاع الأوكرانية، باستخدام طُعوم ذات طابع عسكري وطائرات بدون طيار لاختراق الشبكات .
• Nebo: حملة تعمل بالتوازي منذ أغسطس 2025 فصاعدًا، وتقوم أيضًا بتوزيع برمجية التجسس FallSpy ولكنها تستخدم مجموعة مميزة من المحمّلات المخصصة .

ترسانة أدوات صاغها البشر والآلات معًا

تنبع فعالية GreyVibe من مجموعة برمجيات خبيثة مُصممة خصيصًا، والتي تُقيّم WithSecure بثقة متوسطة أن أجزاءً منها بُنيت بمساعدة كبيرة من نماذج لغوية كبيرة مثل ChatGPT وGemini. وقد أثبتت عيوب التصميم التي أدخلها هذا التطوير بمساعدة الذكاء الاصطناعي أنها خطأ عملياتي قاتل، حيث منحت الباحثين رؤية مباشرة لنشاط المجموعة لعدة أشهر .

• PhantomRelay: حصن طروادة للوصول عن بُعد (RAT) لنظام ويندوز، وهو الحمولة الأساسية للاختراق الأولي، ويتم تسليمها عبر محمّلات PyInstaller أو محمّلات قائمة على JavaScript .
• LegionRelay: أداة مرحلة ثانية أكثر تنوعًا، هذا الحصن المبني على PowerShell يتواصل مع خوادم القيادة والتحكم (C2) عبر REST API. تشمل قدراته تعداد الملفات وتسريبها، والتقاط لقطات الشاشة، وسرقة البيانات من المتصفحات وتطبيقي Telegram وWhatsApp، والوصول عبر RDP. حدد الباحثون عيوبًا برمجية حاسمة في LegionRelay يعتقدون أنها نتيجة مباشرة للتطوير بمساعدة النماذج اللغوية الكبيرة .
• FallSpy: أداة مراقبة لنظام أندرويد استُخدمت في حملتي PrincessClub وNebo منذ أغسطس 2025. تقوم بجمع جهات الاتصال، وسجلات المكالمات، والتطبيقات المثبتة، وتفاصيل شريحة SIM، ومعلومات الجهاز، واسم شبكة Wi-Fi (SSID)، والموقع، وعنوان IP العام، وملفات الوسائط .
• أدوات التشويش المتغيرة: قامت المجموعة بتدوير محمّلات وأدوات تشويش مخصصة لتجنب الاكتشاف، بما في ذلك LOOKVALPS (PowerShell) وLOOKVALJS (JavaScript) وDAYLIGHT (PowerShell، لتحل محل LOOKVALPS من أكتوبر 2025) وTEASOUP (JavaScript، لتحل محل LOOKVALJS من مارس 2026) .

فاعل دولة أم مجرم إلكتروني أم هجين؟ لغز النسبة

بينما تخدم أنشطة GreyVibe بوضوح مصالح الدولة الروسية، فإن هوية المجموعة ليست مجرد إسناد بسيط لفاعل دولة. يشير تحليل WithSecure إلى انتماء أكثر تعقيدًا وهجينًا.

لدى الباحثين ثقة عالية في أن عمليات GreyVibe تتوافق مع أهداف جمع المعلومات الاستخباراتية الروسية في الصراع الأوكراني، بناءً على طبيعة الضحايا (أهداف عسكرية وحكومية وبنية تحتية حيوية) والإجراءات الملاحظة على الأهداف . كما أنهم واثقون بنفس القدر من أن المشغلين ناطقون بالروسية ويعملون حسب توقيت موسكو (UTC+3)، بناءً على تعليقات الشيفرة وإعدادات لغة لوحة الإدارة وتحليل ساعات عملهم .

ومع ذلك، هناك ثقة أقل فيما يتعلق بكون المجموعة تهديدًا متقدمًا ومستمرًا (APT) تابعًا لدولة قومية بحتة. تشير عدة أدلة إلى روابط قوية مع النظام البيئي للجرائم الإلكترونية. فقد ظهرت نسخ من PhantomRelay في مجموعات جرائم إلكترونية غير ذات صلة، واستخدمت المجموعة أداة بناء ISO فريدة قد تكون مرتبطة بنظام TrickBot سيئ السمعة. تشمل المؤشرات الأخرى قيام المشغلين بتحميل عينات تطوير إلى VirusTotal، واستخدام لغة عامية على الإنترنت لتسمية الاصطلاحات (مثل "letsrollboyos" و"cuteuwu")، ونشر مُعدّن العملات الرقمية XMRig على بعض الأجهزة المصابة بـ LegionRelay .

تقيم WithSecure بثقة متوسطة أن GreyVibe لديها اتصالات بالعالم الإجرامي الأوسع، لكن الطبيعة الدقيقة للعلاقة - سواء كانوا قراصنة دولة مستوعبين، أو تابعين متعاقدين، أو فريقًا هجينًا - لا تزال غير واضحة. ومع ذلك، يشير التقييم إلى أن هناك سابقة تاريخية لقيام الاستخبارات الروسية باستمالة مجموعات الجرائم الإلكترونية للقيام بأعمال تتماشى مع مصالح الدولة . باختصار، تبدو GreyVibe مجموعة منخفضة إلى متوسطة التطور، ولكن من خلال تسليحها المكثف للذكاء الاصطناعي، فهي "تلكم فوق وزنها" محدثةً تأثيرًا عملياتيًا مميتًا .