GreyVibe: Bagaimana Malware Buatan AI Memicu Gelombang Baru Spionase Terkait Rusia

Dari Spear-Phishing ke Spionase Seluler: Lima Kampanye Utama

WithSecure menghubungkan lima kampanye berbeda ke GreyVibe dengan melacak kesamaan infrastruktur, malware, dan pola operasional. Setiap kampanye menargetkan kerentanan spesifik, dari kotak masuk hingga ponsel pintar.

• PhantomMail: Kampanye spear-phishing ini menyamar sebagai lembaga pemerintah dan energi Ukraina. Korban menerima email berisi tautan ke arsip ZIP atau RAR yang dihosting di Google Drive atau 4sync. Membuka file tersebut akan menyebarkan rantai infeksi PhantomRelay sementara sebuah umpan—seperti PDF resmi palsu atau pesan kesalahan—menutupi serangan .
• PhantomClick: Sebuah evolusi dari strategi phishing, kampanye ini menggunakan teknik ClickFix. Korban dijebak untuk menjalankan sendiri perintah PowerShell berbahaya melalui prompt CAPTCHA palsu atau pemeriksaan keamanan Cloudflare setelah mengeklik tautan dari PDF yang menipu, yang mungkin benar-benar menggabungkan diri ke rapat Zoom asli untuk menghindari kecurigaan .
• PrincessClub: Operasi ini menargetkan individu untuk pengawasan seluler. Operator menyamar sebagai kontak di Telegram dan mengarahkan korban ke situs konten dewasa palsu yang mengirimkan spyware Android FallSpy .
• DroneLink: Sebuah kampanye yang secara khusus disesuaikan untuk spionase terhadap entitas pertahanan Ukraina, menggunakan umpan bertema drone dan militer untuk mengkompromikan jaringan .
• Nebo: Berjalan bersamaan dari Agustus 2025 dan seterusnya, kampanye ini juga mendistribusikan spyware FallSpy tetapi menggunakan seperangkat loader khusus yang berbeda .

Kotak Peralatan yang Ditempa oleh Manusia dan Mesin

Efektivitas GreyVibe berasal dari rangkaian malware buatan khusus, yang sebagiannya dinilai WithSecure dengan keyakinan moderat dibangun dengan bantuan signifikan dari LLM seperti ChatGPT dan Gemini. Kelemahan desain yang diperkenalkan oleh pengembangan berbantuan AI ini terbukti menjadi kesalahan operasional yang fatal, memberi peneliti visibilitas berbulan-bulan ke dalam aktivitas kelompok tersebut .

• PhantomRelay: Sebuah Windows Remote Access Trojan (RAT) dan muatan akses awal utama, dikirim melalui loader berbasis PyInstaller atau JavaScript .
• LegionRelay: Alat tahap kedua yang lebih serbaguna, RAT berbasis PowerShell ini berkomunikasi dengan server command-and-control (C2) melalui REST API. Kemampuannya meliputi enumerasi dan eksfiltrasi file, tangkapan layar, pencurian data dari browser, Telegram, dan WhatsApp, serta akses RDP. Peneliti mengidentifikasi kelemahan pengkodean krusial di LegionRelay yang mereka nilai sebagai akibat langsung dari pengembangan berbantuan LLM .
• FallSpy: Alat pengawasan Android yang digunakan dalam kampanye PrincessClub dan Nebo sejak Agustus 2025. Alat ini memanen kontak, log panggilan, aplikasi terinstal, detail SIM, informasi perangkat, SSID Wi-Fi, lokasi, IP publik, dan file media .
• Obfuscator Bergilir: Kelompok ini merotasi loader dan obfuscator khusus untuk menghindari deteksi, termasuk LOOKVALPS (PowerShell), LOOKVALJS (JavaScript), DAYLIGHT (PowerShell, menggantikan LOOKVALPS mulai Oktober 2025), dan TEASOUP (JavaScript, menggantikan LOOKVALJS mulai Maret 2026) .

Aktor Negara, Penjahat Siber, atau Hibrida? Teka-Teki Atribusi

Sementara aktivitas GreyVibe jelas melayani kepentingan negara Rusia, identitas kelompok ini bukanlah atribusi aktor negara yang sederhana. Analisis WithSecure menunjuk pada afiliasi yang lebih kompleks dan hibrida.

Para peneliti memiliki keyakinan tinggi bahwa operasi GreyVibe selaras dengan tujuan pengumpulan intelijen Rusia dalam konflik Ukraina, berdasarkan viktimologi (target militer, pemerintah, dan infrastruktur kritis) dan tindakan yang diamati pada objektif . Mereka sama yakinnya bahwa operatornya berbahasa Rusia dan bekerja di zona waktu Moskow (UTC+3), berdasarkan komentar kode, pengaturan bahasa panel admin, dan analisis jam kerja mereka .

Namun, ada keyakinan yang lebih rendah mengenai apakah kelompok ini murni APT (Advanced Persistent Threat) negara-bangsa. Beberapa petunjuk menunjukkan ikatan kuat dengan ekosistem kejahatan siber. Varian PhantomRelay telah muncul di kluster kejahatan siber yang tidak terkait, dan kelompok ini menggunakan pembangun ISO unik yang berpotensi terkait dengan ekosistem TrickBot yang terkenal. Indikator lainnya termasuk operator yang mengunggah sampel pengembangan ke VirusTotal, menggunakan slang internet untuk konvensi penamaan (seperti "letsrollboyos" dan "cuteuwu"), dan menyebarkan penambang kripto XMRig pada beberapa mesin yang terinfeksi LegionRelay .

WithSecure menilai dengan keyakinan moderat bahwa GreyVibe memiliki koneksi ke dunia kriminal bawah tanah yang lebih luas, tetapi sifat pasti dari hubungan tersebut—apakah peretas negara yang diserap, afiliasi yang dikontrak, atau tim hibrida—masih belum jelas. Penilaian tersebut mencatat, bagaimanapun, bahwa ada preseden historis bagi intelijen Rusia yang mengkooptasi kelompok penjahat siber untuk pekerjaan yang selaras dengan negara . Singkatnya, GreyVibe tampaknya menjadi kelompok dengan kecanggihan rendah hingga moderat yang, melalui persenjataan AI yang agresif, "meninju di atas bobotnya" dengan efek operasional yang mematikan .