GreyVibe: Cómo un grupo afiliado a Rusia usa la IA para potenciar sus ciberataques en Ucrania

De la suplantación de identidad al espionaje móvil: Las cinco campañas

WithSecure vinculó cinco campañas distintas a GreyVibe al rastrear infraestructura, malware y patrones operativos compartidos. Cada campaña tiene como objetivo una vulnerabilidad específica, desde la bandeja de entrada hasta el teléfono inteligente.

• PhantomMail: Esta campaña de spear-phishing suplanta a agencias gubernamentales y energéticas ucranianas. Las víctimas reciben correos electrónicos con enlaces a archivos ZIP o RAR alojados en Google Drive o 4sync. Al abrir el archivo, se despliega la cadena de infección del troyano PhantomRelay mientras un señuelo —como un PDF oficial falso o un mensaje de error— enmascara el ataque .
• PhantomClick: Una evolución del manual de phishing, esta campaña utiliza la técnica ClickFix. Se engaña a las víctimas para que ejecuten comandos maliciosos de PowerShell por sí mismas a través de comprobaciones de seguridad falsas de CAPTCHA o Cloudflare, tras hacer clic en un enlace de un PDF engañoso que, de hecho, podría dirigir a una reunión real de Zoom para no levantar sospechas .
• PrincessClub: Esta operación apunta a individuos para labores de vigilancia móvil. Los operadores suplantan a contactos en Telegram y dirigen a las víctimas a sitios falsos de contenido para adultos que instalan el spyware para Android FallSpy .
• DroneLink: Una campaña específicamente diseñada para el espionaje contra entidades de defensa ucranianas, utilizando señuelos de temática militar y de drones para comprometer las redes .
• Nebo: Activa simultáneamente desde agosto de 2025, esta campaña también distribuye el spyware FallSpy, pero utiliza un conjunto distinto de cargadores personalizados .

Un arsenal forjado por humanos y máquinas

La efectividad de GreyVibe se debe a un conjunto de malware a medida, partes del cual, según la evaluación de WithSecure con una confianza moderada, fueron construidas con una asistencia significativa de modelos de lenguaje extenso (LLM, por sus siglas en inglés) como ChatGPT y Gemini. Los fallos de diseño introducidos por este desarrollo asistido por IA resultaron ser un error operativo fatal, otorgando a los investigadores meses de visibilidad sobre la actividad del grupo .

• PhantomRelay: Un troyano de acceso remoto (RAT) para Windows y la principal carga útil de acceso inicial, distribuido a través de PyInstaller o cargadores basados en JavaScript .
• LegionRelay: Una herramienta de segunda etapa más versátil, este RAT basado en PowerShell se comunica con servidores de comando y control (C2) a través de una API REST. Sus capacidades incluyen la enumeración y exfiltración de archivos, la captura de pantallas, el robo de datos de navegadores, Telegram y WhatsApp, y el acceso RDP. Los investigadores identificaron fallos de codificación cruciales en LegionRelay que, a su juicio, son el resultado directo de un desarrollo asistido por un LLM .
• FallSpy: Una herramienta de vigilancia para Android utilizada en las campañas PrincessClub y Nebo desde agosto de 2025. Recopila contactos, registros de llamadas, aplicaciones instaladas, detalles de la tarjeta SIM, información del dispositivo, SSID de la red Wi-Fi, ubicación, IP pública y archivos multimedia .
• Ofuscadores rotativos: El grupo utilizó cargadores y ofuscadores personalizados de forma rotativa para evadir la detección, incluyendo LOOKVALPS (PowerShell), LOOKVALJS (JavaScript), DAYLIGHT (PowerShell, que reemplazó a LOOKVALPS desde octubre de 2025) y TEASOUP (JavaScript, que reemplazó a LOOKVALJS desde marzo de 2026) .

¿Actor estatal, cibercriminales o un híbrido? El rompecabezas de la atribución

Si bien las actividades de GreyVibe sirven claramente a los intereses del Estado ruso, la identidad del grupo no es la de un simple actor estatal. El análisis de WithSecure apunta a una afiliación más compleja e híbrida.

Los investigadores tienen una alta confianza en que las operaciones de GreyVibe se alinean con los objetivos de recopilación de inteligencia rusos en el conflicto de Ucrania, basándose en las víctimas seleccionadas (objetivos militares, gubernamentales y de infraestructura crítica) y en las acciones observadas sobre los objetivos . Confían igualmente en que los operadores son de habla rusa y trabajan en el huso horario de Moscú (UTC+3), basándose en comentarios de código, la configuración de idioma de los paneles de administración y el análisis de sus horas de trabajo .

Sin embargo, existe una menor confianza en cuanto a que el grupo sea una APT (Amenaza Persistente Avanzada) puramente estatal. Varias pistas sugieren fuertes vínculos con el ecosistema del cibercrimen. Han aparecido variantes de PhantomRelay en clústeres de cibercrimen no relacionados, y el grupo utilizó un constructor de archivos ISO único potencialmente vinculado al famoso ecosistema de TrickBot. Otros indicios incluyen a operadores subiendo muestras de desarrollo a VirusTotal, el uso de jerga de internet para las convenciones de nomenclatura (como "letsrollboyos" y "cuteuwu"), y el despliegue de un minero de criptomonedas XMRig en algunas máquinas infectadas con LegionRelay .

WithSecure evalúa con una confianza moderada que GreyVibe tiene conexiones con el submundo criminal en general, pero la naturaleza exacta de la relación —si son hackers estatales absorbidos, afiliados contratados o un equipo híbrido— sigue sin estar clara. La evaluación señala, no obstante, que existe un precedente histórico de los servicios de inteligencia rusos cooptando grupos cibercriminales para trabajos alineados con el Estado . En resumen, GreyVibe parece ser un grupo de sofisticación baja a moderada que, a través de su agresiva instrumentalización de la IA, "da golpes por encima de su peso" con un efecto operativo letal .