GreyVibe: как ИИ усиливает волну кибершпионажа с российским следом

От целевого фишинга до мобильного шпионажа: пять кампаний

Аналитики WithSecure связали с GreyVibe пять отдельных кампаний, обнаружив общую инфраструктуру, вредоносное ПО и оперативные шаблоны. Каждая из них эксплуатирует свою уязвимость — от почтового ящика до смартфона.

• PhantomMail: Кампания целевого фишинга с impersonation (подделкой личности) украинских государственных и энергетических агентств. Жертвы получают письма со ссылками на ZIP- или RAR-архивы, размещённые на Google Drive или 4sync. При открытии файла запускается цепочка заражения PhantomRelay, а в это время на экране отображается отвлекающий маневр — поддельный официальный PDF-документ или сообщение об ошибке .
• PhantomClick: Развитие фишингового сценария. Здесь используется техника ClickFix: жертву обманом вынуждают самостоятельно запустить вредоносные команды PowerShell через фальшивые запросы CAPTCHA или проверки безопасности Cloudflare после перехода по ссылке из поддельного PDF-файла, который при этом может вести на настоящую конференцию Zoom, чтобы не вызывать подозрений .
• PrincessClub: Операция, нацеленная на слежку за частными лицами через мобильные устройства. Злоумышленники выдают себя за контакты в Telegram и перенаправляют жертв на поддельные сайты с контентом для взрослых, которые распространяют Android-шпиона FallSpy .
• DroneLink: Кампания, специально созданная для шпионажа против украинских оборонных структур, использующая в качестве приманки тематику дронов и военных технологий .
• Nebo: Эта кампания также распространяет шпиона FallSpy, но работает параллельно с августа 2025 года и применяет другой набор загрузчиков, написанных на заказ .

Инструментарий, созданный человеком и машиной

Эффективность GreyVibe обусловлена уникальным набором вредоносных программ, часть из которых, по оценке WithSecure со средней степенью уверенности, была создана при значительной помощи больших языковых моделей (LLM) вроде ChatGPT и Gemini. Допущенные при "ИИ-разработке" конструктивные ошибки сыграли с группой злую шутку, дав исследователям возможность месяцами отслеживать их активность .

• PhantomRelay: Троян удаленного доступа для Windows, основная полезная нагрузка для первоначального проникновения. Доставляется через загрузчики на базе PyInstaller или JavaScript .
• LegionRelay: Более универсальный инструмент для второго этапа атаки. Этот троян на базе PowerShell взаимодействует с управляющими серверами через REST API. Его возможности включают перечисление и кражу файлов, создание скриншотов, хищение данных из браузеров, Telegram и WhatsApp, а также доступ по RDP. Исследователи обнаружили в LegionRelay характерные ошибки кодирования, которые, по их мнению, являются прямым следствием разработки с привлечением LLM .
• FallSpy: Инструмент для слежки за Android-устройствами, используемый в кампаниях PrincessClub и Nebo с августа 2025 года. Собирает контакты, журналы вызовов, список установленных приложений, данные SIM-карты, информацию об устройстве, SSID Wi-Fi, местоположение, публичный IP-адрес и медиафайлы .
• Сменные обфускаторы: Для уклонения от обнаружения группа поочерёдно использовала несколько загрузчиков и обфускаторов, в том числе LOOKVALPS (PowerShell), LOOKVALJS (JavaScript), DAYLIGHT (PowerShell, заменил LOOKVALPS с октября 2025 года) и TEASOUP (JavaScript, заменил LOOKVALJS с марта 2026 года) .

Государственный актор, киберпреступники или гибрид?

Деятельность GreyVibe явно служит интересам российского государства, однако с идентификацией группы не всё так просто. Анализ WithSecure указывает на более сложную, гибридную принадлежность.

Исследователи с высокой долей уверенности утверждают, что операции GreyVibe согласуются с целями российской разведки в контексте конфликта на Украине. Этот вывод основан на анализе жертв (военные, правительственные и критически важные объекты инфраструктуры) и наблюдаемых действиях . Столь же уверенно они говорят о том, что операторы группы — русскоязычные хакеры, работающие в московском часовом поясе (UTC+3). На это указывают комментарии в коде, язык панелей администрирования и анализ периодов их рабочей активности .

Однако принадлежность к чисто государственным APT-группировкам — под вопросом. Ряд признаков указывает на прочные связи с киберпреступным миром. Варианты PhantomRelay были замечены в несвязанных между собой преступных кластерах, а группа использовала уникальный ISO-билдер, вероятно, связанный с экосистемой печально известного ботнета TrickBot. Среди других индикаторов: операторы загружали тестовые образцы вредоносного ПО на VirusTotal, использовали интернет-сленг для именования (например, "letsrollboyos" и "cuteuwu"), а на некоторых заражённых LegionRelay машинах запускали криптомайнер XMRig .

WithSecure со средней уверенностью предполагает, что GreyVibe имеет связи с криминальным подпольем, однако точный характер этих отношений — будь то поглощённые государством хакеры, нанятые подрядчики или смешанная команда — остаётся неясным. При этом в отчёте отмечается исторический прецедент: российские спецслужбы и ранее кооптировали киберпреступные группы для решения государственных задач .

В итоге GreyVibe предстаёт группой с довольно скромным уровнем технической подготовки, которая благодаря массированному использованию ИИ «прыгает выше головы», нанося крайне опасные удары .