GreyVibe: AI กลายเป็นอาวุธทรงพลังในสงครามไซเบอร์ยุคใหม่ได้อย่างไร

5 แคมเปญ: จากฟิชชิ่งทางอีเมล สู่การจารกรรมบนมือถือ

ทีมวิจัยของ WithSecure สามารถเชื่อมโยง 5 แคมเปญที่แตกต่างกันเข้ากับ GreyVibe ได้ โดยแกะรอยจากโครงสร้างพื้นฐาน มัลแวร์ และรูปแบบปฏิบัติการที่ใช้ร่วมกัน ซึ่งแต่ละแคมเปญมีเป้าหมายเจาะช่องโหว่ที่แตกต่างกัน ตั้งแต่กล่องข้อความอีเมลไปจนถึงสมาร์ทโฟน

• PhantomMail: การโจมตีแบบ Spear-Phishing ที่ปลอมแปลงเป็นหน่วยงานรัฐบาลและพลังงานของยูเครน เหยื่อจะได้รับอีเมลที่มีลิงก์ไปยังไฟล์ ZIP หรือ RAR ที่ฝากไว้บน Google Drive หรือ 4sync เมื่อเปิดไฟล์ จะเป็นการเริ่มต้นสายการติดมัลแวร์ PhantomRelay ทันที พร้อมกับมีไฟล์ลวง เช่น PDF ราชการปลอม หรือข้อความ error มาปิดบังการโจมตี
• PhantomClick: แคมเปญนี้พัฒนาต่อยอดจากฟิชชิ่ง โดยใช้เทคนิค ClickFix หลอกให้เหยื่อคลิกลิงก์จาก PDF ลวง แล้วรันคำสั่ง PowerShell ที่เป็นอันตรายด้วยตัวเอง ผ่านหน้าจอปลอม เช่น การยืนยันตัวตน CAPTCHA หรือระบบความปลอดภัยของ Cloudflare หลังคลิกลิงก์จาก PDF ปลอม ซึ่งอาจเป็นลิงก์นำไปสู่การประชุม Zoom จริงเพื่อปิดบังความผิดปกติ
• PrincessClub: แคมเปญนี้พุ่งเป้าไปที่การสอดส่องมือถือส่วนบุคคล โดยผู้โจมตีแอบอ้างเป็นผู้ติดต่อใน Telegram และนำเหยื่อไปยังเว็บไซต์เนื้อหาสำหรับผู้ใหญ่ปลอม เพื่อติดตั้งสปายแวร์ Android ชื่อ FallSpy
• DroneLink: แคมเปญที่ออกแบบมาเพื่อการจารกรรมต่อหน่วยงานกลาโหมของยูเครนโดยเฉพาะ โดยใช้เหยื่อล่อที่มีเนื้อหาเกี่ยวกับโดรนและการทหารในการเข้าถึงเครือข่ายภายใน
• Nebo: ปฏิบัติการที่ดำเนินไปพร้อมกันตั้งแต่เดือนสิงหาคม 2025 โดยมีเป้าหมายเพื่อแพร่กระจายสปายแวร์ FallSpy เช่นกัน แต่ใช้ชุดตัวโหลดเฉพาะกิจที่แตกต่างออกไป

คลังแสงที่สร้างขึ้นจากทั้งมนุษย์และจักรกล

ประสิทธิภาพของ GreyVibe มาจากรากฐานของชุดซอฟต์แวร์มัลแวร์ที่สร้างขึ้นเอง ซึ่ง WithSecure ประเมินด้วยความมั่นใจระดับปานกลางว่า บางส่วนถูกสร้างขึ้นด้วยความช่วยเหลือจาก LLMs อย่าง ChatGPT และ Gemini อย่างมีนัยสำคัญ ข้อบกพร่องทางการออกแบบที่ AI ช่วยเขียนโค้ดให้ กลายเป็นจุดพลิกผันครั้งใหญ่ที่ทำให้ผู้เชี่ยวชาญสามารถติดตามปฏิบัติการของกลุ่มได้อย่างละเอียดเป็นเวลาหลายเดือน

• PhantomRelay: โทรจันควบคุมระยะไกล (RAT) สำหรับ Windows และเป็นอาวุธหลักในการเจาะระบบครั้งแรก โดยถูกส่งผ่านตัวโหลดที่สร้างจาก PyInstaller หรือ JavaScript .
• LegionRelay: เครื่องมือขั้นที่สองที่มีความคล่องตัวมากกว่า เป็น RAT แบบ PowerShell ที่สื่อสารกับเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) ผ่าน REST API คุณสมบัติรวมถึงการค้นหาและถ่ายโอนไฟล์ภายในระบบ, จับภาพหน้าจอ, ขโมยข้อมูลจากเบราว์เซอร์, Telegram และ WhatsApp และการเข้าถึงผ่าน RDP นักวิจัยพบข้อผิดพลาดในการเขียนโค้ดของ LegionRelay ซึ่งพวกเขาเชื่อว่าเป็นผลโดยตรงจากการให้ LLM ช่วยพัฒนา
• FallSpy: เครื่องมือสอดแนมสำหรับระบบปฏิบัติการ Android ที่ใช้ในแคมเปญ PrincessClub และ Nebo ตั้งแต่เดือนสิงหาคม 2025 มันสามารถเก็บข้อมูลรายชื่อ, บันทึกการโทร, รายชื่อแอปที่ติดตั้ง, ข้อมูลซิมการ์ด, ข้อมูลอุปกรณ์, ชื่อ Wi-Fi (SSID), ตำแหน่งที่ตั้ง, IP สาธารณะ และไฟล์มัลติมีเดีย
• ชุดเครื่องมืออำพรางที่เปลี่ยนหมุนเวียน: กลุ่มนี้มีการหมุนเวียนใช้ตัวโหลดและเครื่องมือเข้ารหัสลับเฉพาะกิจเพื่อหลบเลี่ยงการตรวจจับ ซึ่งประกอบด้วย LOOKVALPS (PowerShell), LOOKVALJS (JavaScript), DAYLIGHT (PowerShell, มาแทนที่ LOOKVALPS ในเดือนตุลาคม 2025) และ TEASOUP (JavaScript, มาแทนที่ LOOKVALJS ในเดือนมีนาคม 2026)

หน่วยงานรัฐ, อาชญากรไซเบอร์, หรือลูกผสม? ปริศนาการระบุตัวตน

แม้ปฏิบัติการของ GreyVibe จะเข้าข่ายเพื่อผลประโยชน์ของรัฐรัสเซียอย่างชัดเจน แต่ตัวตนของกลุ่มไม่ได้มีแค่เพียงการเป็นหน่วยงานของรัฐอย่างตรงไปตรงมา บทวิเคราะห์ของ WithSecure ชี้ไปที่รูปแบบความเกี่ยวข้องที่ซับซ้อนและมีลักษณะเป็นลูกผสมมากกว่า

ผู้เชี่ยวชาญ "มั่นใจสูง" ว่าปฏิบัติการของ GreyVibe สอดคล้องกับวัตถุประสงค์ในการรวบรวมข่าวกรองของรัสเซียในความขัดแย้งกับยูเครน โดยอ้างอิงจากรูปแบบของเหยื่อ (เป้าหมายทางทหาร รัฐบาล และโครงสร้างพื้นฐานสำคัญ) และการกระทำที่สังเกตได้เมื่อบรรลุเป้าหมาย พวกเขามั่นใจในระดับเดียวกันว่าผู้ปฏิบัติการพูดภาษารัสเซียและทำงานอยู่ในเขตเวลามอสโก (UTC+3) โดยดูจากคำอธิบายประกอบในโค้ด, การตั้งค่าภาษาของแผงควบคุม, และการวิเคราะห์ช่วงเวลาการทำงาน

อย่างไรก็ตาม มีความมั่นใจในระดับที่น้อยลงว่ากลุ่มนี้คือ APT (Advanced Persistent Threat) ที่เป็นของรัฐโดยแท้จริง เงื่อนงำหลายอย่างบ่งชี้ถึงความเชื่อมโยงที่แน่นแฟ้นกับระบบนิเวศของอาชญากรไซเบอร์ ตัวแปรของ PhantomRelay ปรากฏในคลัสเตอร์ของกลุ่มอาชญากรไซเบอร์ที่ไม่มีความเชื่อมโยงอื่น ๆ กลุ่มนี้ใช้เครื่องมือสร้าง ISO ที่เป็นเอกลักษณ์ซึ่งอาจเชื่อมโยงกับระบบนิเวศของ TrickBot ที่โด่งดัง ข้อบ่งชี้อื่นๆ รวมถึงการที่ผู้ปฏิบัติการอัปโหลดตัวอย่างระหว่างการพัฒนาไปยัง VirusTotal, การใช้คำสแลงทางอินเทอร์เน็ตในการตั้งชื่อ (เช่น "letsrollboyos" และ "cuteuwu") และการติดตั้งซอฟต์แวร์ขุดเหมืองคริปโต XMRig บนบางเครื่องที่ติดมัลแวร์ LegionRelay

WithSecure ประเมินด้วยความมั่นใจระดับปานกลางว่า GreyVibe มีความเชื่อมโยงกับโลกใต้ดินของอาชญากรไซเบอร์ แต่ลักษณะความสัมพันธ์ที่แน่ชัด—ไม่ว่าจะเป็นการดูดซับแฮ็กเกอร์ของรัฐ, การจ้างพันธมิตรภายนอก, หรือเป็นทีมแบบลูกผสม—ยังคงคลุมเครือ ทั้งนี้ รายงานระบุว่าในอดีตมีแบบอย่างที่หน่วยข่าวกรองรัสเซียเคยร่วมมือกับกลุ่มอาชญากรไซเบอร์เพื่อภารกิจของรัฐ โดยสรุป GreyVibe ดูจะเป็นกลุ่มที่มีความซับซ้อนในระดับต่ำถึงปานกลาง แต่การที่พวกเขานำ AI มาใช้เป็นอาวุธอย่างดุดัน ทำให้พวกเขา "มีอานุภาพเหนือชั้นกว่าขนาดที่แท้จริง" และสร้างผลลัพธ์ที่ร้ายแรงได้