GreyVibe: Wie Russlands neue Schattenarmee ChatGPT und Gemini zur Waffe macht

Vom Posteingang zum Smartphone: Die fünf Kampagnen im Überblick

GreyVibe betreibt nach Erkenntnissen von WithSecure mindestens fünf parallel laufende Angriffskampagnen, die sich über gemeinsame Infrastruktur, Malware-Familien und taktische Handschrift zu einem Gesamtbild fügen. Jede Kampagne setzt an einer anderen Schwachstelle an – mal ist es die E-Mail, mal das Mobiltelefon.

• PhantomMail: Hinter dieser Kampagne stecken klassische Spear-Phishing-Angriffe, bei denen sich die Täter als ukrainische Regierungsstellen oder Energieversorger ausgeben. Die Empfänger erhalten E-Mails mit Links zu ZIP- oder RAR-Archiven, die auf Google Drive oder dem Clouddienst 4sync liegen. Wer die Datei öffnet, löst eine Infektionskette mit der Schadsoftware PhantomRelay aus. Ein harmlos wirkendes, gefälschtes PDF-Dokument oder eine Fehlermeldung dient als Tarnung, sodass die Opfer den eigentlichen Angriff im Hintergrund nicht bemerken .
• PhantomClick: Diese Kampagne stellt eine Weiterentwicklung des Phishing-Schemas dar und nutzt die sogenannte ClickFix-Technik. Die Opfer werden mit gefälschten CAPTCHA- oder Browser-Sicherheitsabfragen dazu verleitet, selbst schädliche PowerShell-Befehle auszuführen. Der Köder: ein manipuliertes PDF, das angeblich von der ukrainischen Präsidialverwaltung stammt und einen Link zu einem Zoom-Meeting enthält – die Teilnahme am echten Meeting dient zusätzlich der Tarnung .
• PrincessClub: Anders als die anderen Kampagnen zielt PrincessClub auf Privatpersonen für mobile Überwachung ab. Die Angreifer geben sich in Telegram als Bekannte der Opfer aus und locken sie auf gefälschte Seiten mit nicht jugendfreien Inhalten. Dort wird die Android-Spionagesoftware FallSpy installiert .
• DroneLink: Diese Kampagne ist maßgeschneidert für Spionage gegen ukrainische Verteidigungseinrichtungen und nutzt gezielt Köder mit Bezug zu Drohnen und militärischen Themen, um in Netzwerke einzudringen .
• Nebo: Parallel zu den anderen Operationen wird auch in dieser seit August 2025 aktiven Kampagne die Spyware FallSpy verteilt – allerdings unter Verwendung anderer, speziell entwickelter Ladesoftware (Loader) .

Ein Arsenal, das Mensch und Maschine gemeinsam schmiedeten

Die Schlagkraft von GreyVibe beruht auf einer maßgeschneiderten Malware-Suite, die nach Einschätzung von WithSecure mit hoher Wahrscheinlichkeit unter erheblicher Mithilfe von großen Sprachmodellen (LLMs) wie ChatGPT und Gemini entwickelt wurde. Die durch diese KI-Unterstützung entstandenen Designfehler wurden den Angreifern jedoch zum Verhängnis: Sie erlaubten den Forschern monatelang einen ungewohnt tiefen Einblick in die Aktivitäten der Gruppe .

• PhantomRelay: Ein Windows-Remote-Access-Trojaner (RAT), der als erste Infektionsstufe dient und über sogenannte Loader auf Basis von PyInstaller oder JavaScript ausgeliefert wird .
• LegionRelay: Das vielseitigere Werkzeug für Phase zwei ist ein PowerShell-basierter RAT, der über eine REST-API mit Command-and-Control-Servern (C2) kommuniziert. Zu seinen Fähigkeiten gehören das Durchsuchen und Ausleiten von Dateien, das Erstellen von Bildschirmfotos, der Diebstahl von Daten aus Browsern, WhatsApp und Telegram sowie RDP-Zugriffe. Forscher entdeckten in LegionRelay allerdings erhebliche Programmierfehler, die sie direkt auf die KI-gestützte Entwicklung zurückführen .
• FallSpy: Ein Android-Überwachungstool, das seit August 2025 in den Kampagnen PrincessClub und Nebo zum Einsatz kommt. Es sammelt Kontakte, Anruflisten, installierte Apps, SIM-Details, Geräteinformationen, WLAN-Namen, Standortdaten, die öffentliche IP-Adresse sowie Mediendateien .
• Immer wieder neue Tarnkappen: Um nicht entdeckt zu werden, wechselte die Gruppe regelmäßig eigene Loader und Verschleierungswerkzeuge aus. Dazu zählten unter anderem LOOKVALPS (PowerShell), LOOKVALJS (JavaScript), der Nachfolger DAYLIGHT (PowerShell, ab Oktober 2025) und TEASOUP (JavaScript, ab März 2026) .

Staatsakteur, Kriminelle – oder eine gefährliche Mischform?

Dass die Aktivitäten von GreyVibe im Interesse des russischen Staates liegen, steht für die Forscher außer Frage. Die Identität der Gruppe lässt sich jedoch nicht auf die einfache Formel „staatliche Hackertruppe“ reduzieren. Die Analyse von WithSecure zeichnet das Bild einer komplexen, hybriden Zugehörigkeit.

Mit hoher Sicherheit gehen die Forscher davon aus, dass GreyVibes Operationen mit den nachrichtendienstlichen Zielen Russlands im Ukraine-Krieg übereinstimmen – dies leiten sie aus der Opferauswahl (Militär, Regierung, kritische Infrastruktur) und den konkreten Spionagehandlungen ab . Ebenso sicher sind sie sich, dass die Drahtzieher russischsprachig sind und in der Moskauer Zeitzone (UTC+3) arbeiten, was Kommentare im Quellcode, die Sprache in den Administrationsoberflächen und die Analyse der Arbeitszeiten belegen .

Deutlich geringer ist die Gewissheit hingegen, dass es sich um eine rein staatliche Advanced Persistent Threat (APT) handelt. Mehrere Indizien deuten auf enge Verflechtungen mit dem kriminellen Untergrund hin. Varianten der PhantomRelay-Malware tauchten in nicht mit den Kampagnen verbundenen Cybercrime-Clustern auf, und die Gruppe nutzte einen speziellen ISO-Builder, der möglicherweise Verbindungen zum berüchtigten TrickBot-Ökosystem aufweist. Weitere Hinweise sind das unvorsichtige Hochladen von Entwicklungsversionen auf VirusTotal, Namensgebungen mit Internet-Slang wie „letsrollboyos“ und „cuteuwu“ sowie die Installation eines Kryptowährungs-Miners (XMRig) auf einigen mit LegionRelay infizierten Rechnern .

WithSecure hält es daher mit mittlerer Sicherheit für wahrscheinlich, dass GreyVibe Verbindungen ins breitere kriminelle Milieu hat. Unklar bleibt, ob es sich um eingegliederte Staatshacker, vertraglich gebundene kriminelle Partner oder ein hybrides Team handelt. Die Analyse verweist jedoch auf historische Präzedenzfälle, in denen russische Geheimdienste kriminelle Gruppen für staatstragende Operationen kooptiert haben . Das Fazit der Forscher: GreyVibe wirkt wie ein technisch mäßig versiertes, aber durch den massiven Einsatz von KI „über seine Gewichtsklasse boxendes“ Team – mit tödlicher operativer Wirkung .