GreyVibe: Cách AI Tiếp Lửa Cho Làn Sóng Gián Điệp Mạng Mới Của Nga

Từ Lừa Đảo Qua Email đến Gián Điệp Di Động: Giải Mã Năm Chiến Dịch

WithSecure đã liên kết năm chiến dịch riêng biệt với GreyVibe bằng cách truy vết hạ tầng, mã độc và mô hình hoạt động chung. Mỗi chiến dịch lại nhắm vào một lỗ hổng cụ thể, từ hộp thư điện tử đến điện thoại thông minh.

• PhantomMail: Chiến dịch tấn công lừa đảo có chủ đích (spear-phishing) này mạo danh các cơ quan chính phủ và năng lượng của Ukraine. Nạn nhân nhận được email chứa liên kết đến các tệp nén ZIP hoặc RAR được lưu trữ trên Google Drive hoặc 4sync. Khi mở tệp, chuỗi lây nhiễm PhantomRelay được kích hoạt, trong khi một "mồi nhử" — như một tệp PDF chính thức giả hoặc thông báo lỗi — che giấu cuộc tấn công .
• PhantomClick: Là một phiên bản tiến hóa của chiến thuật lừa đảo, chiến dịch này sử dụng kỹ thuật "ClickFix". Sau khi nhấp vào liên kết từ một tệp PDF giả mạo (thực tế có thể dẫn đến một cuộc họp Zoom thật để tránh bị nghi ngờ), nạn nhân bị dụ chạy các dòng lệnh PowerShell độc hại thông qua các lời nhắc CAPTCHA hoặc kiểm tra bảo mật Cloudflare giả mạo .
• PrincessClub: Chiến dịch này nhắm vào các cá nhân để giám sát di động. Kẻ tấn công mạo danh người quen trên Telegram và chuyển hướng nạn nhân đến các trang web có nội dung người lớn giả mạo, nơi chúng cài phần mềm gián điệp Android FallSpy .
• DroneLink: Một chiến dịch được thiết kế riêng cho hoạt động gián điệp chống lại các thực thể quốc phòng của Ukraine, sử dụng mồi nhử liên quan đến drone và chủ đề quân sự để thâm nhập mạng lưới .
• Nebo: Diễn ra song song từ tháng 8 năm 2025, chiến dịch này cũng phát tán phần mềm gián điệp FallSpy nhưng sử dụng một bộ công cụ tải (loader) tùy chỉnh khác biệt .

Kho Vũ Khí Được Tạo Nên Bởi Cả Người Và Máy

Hiệu quả của GreyVibe đến từ một bộ mã độc được thiết kế riêng, một phần trong số đó — theo đánh giá với độ tin cậy trung bình của WithSecure — đã được xây dựng với sự trợ giúp đáng kể từ các mô hình ngôn ngữ lớn (LLM) như ChatGPT và Gemini. Trớ trêu thay, chính những lỗi thiết kế do AI tạo ra lại là một sai lầm chiến dịch chết người, cho phép các nhà nghiên cứu có cái nhìn sâu sắc kéo dài hàng tháng vào hoạt động của nhóm này .

• PhantomRelay: Một Trojan Truy Cập Từ Xa (RAT) trên Windows, là tải trọng (payload) xâm nhập ban đầu chính, được phân phối thông qua các bộ tải dựa trên PyInstaller hoặc JavaScript .
• LegionRelay: Một công cụ giai đoạn hai đa năng hơn, RAT dựa trên PowerShell này giao tiếp với các máy chủ điều khiển (C2) qua API REST. Khả năng của nó bao gồm liệt kê và đánh cắp tệp, chụp ảnh màn hình, trộm dữ liệu từ trình duyệt, Telegram và WhatsApp, cũng như truy cập RDP. Các nhà nghiên cứu đã xác định được những lỗi lập trình quan trọng trong LegionRelay mà họ đánh giá là hậu quả trực tiếp từ việc phát triển có sự hỗ trợ của LLM .
• FallSpy: Một công cụ giám sát Android được sử dụng trong các chiến dịch PrincessClub và Nebo kể từ tháng 8/2025. Nó thu thập danh bạ, nhật ký cuộc gọi, ứng dụng đã cài đặt, thông tin SIM, thông tin thiết bị, SSID Wi-Fi, vị trí, IP công cộng và các tệp phương tiện .
• Bộ công cụ làm rối mã (Obfuscator) luân phiên: Nhóm này liên tục thay đổi các bộ tải và công cụ làm rối mã tùy chỉnh để tránh bị phát hiện, bao gồm LOOKVALPS (PowerShell), LOOKVALJS (JavaScript), DAYLIGHT (PowerShell, thay thế LOOKVALPS từ tháng 10/2025), và TEASOUP (JavaScript, thay thế LOOKVALJS từ tháng 3/2026) .

Gián Điệp Nhà Nước, Tội Phạm Mạng, Hay Một Thực Thể Lai Ghép?

Mặc dù các hoạt động của GreyVibe rõ ràng phục vụ lợi ích quốc gia Nga, danh tính của nhóm này không đơn thuần là một diễn viên nhà nước. Phân tích của WithSecure chỉ ra một mối liên kết phức tạp và lai ghép hơn.

Các nhà nghiên cứu có độ tin cậy cao rằng các chiến dịch của GreyVibe phù hợp với mục tiêu thu thập tình báo của Nga trong cuộc xung đột Ukraine, dựa trên đặc điểm nạn nhân (mục tiêu là quân đội, chính phủ và cơ sở hạ tầng quan trọng) và các hành động quan sát được . Họ cũng tự tin không kém rằng những kẻ vận hành là người nói tiếng Nga và làm việc theo múi giờ Moscow (UTC+3), dựa trên các chú thích mã nguồn, cài đặt ngôn ngữ bảng điều khiển quản trị và phân tích giờ làm việc của chúng .

Tuy nhiên, mức độ tin cậy thấp hơn khi khẳng định đây là một APT thuần túy của quốc gia. Một số manh mối cho thấy mối liên hệ chặt chẽ với thế giới ngầm tội phạm mạng. Các biến thể của PhantomRelay đã xuất hiện trong các cụm tội phạm mạng không liên quan, và nhóm này đã sử dụng một công cụ tạo tệp ISO độc đáo có khả năng liên kết với hệ sinh thái TrickBot khét tiếng. Các dấu hiệu khác bao gồm việc kẻ vận hành tải các mẫu đang phát triển lên VirusTotal, sử dụng tiếng lóng mạng để đặt tên quy ước (như "letsrollboyos" và "cuteuwu"), và triển khai công cụ đào tiền mã hóa XMRig trên một số máy bị nhiễm LegionRelay .

WithSecure đánh giá với độ tin cậy trung bình rằng GreyVibe có mối liên hệ với thế giới ngầm tội phạm rộng lớn hơn, nhưng bản chất chính xác của mối quan hệ này — có thể là tin tặc quốc gia bị hấp thụ, các chi nhánh hợp đồng, hay một nhóm lai ghép — vẫn chưa rõ ràng. Tuy nhiên, đánh giá lưu ý rằng đã có tiền lệ lịch sử về việc tình báo Nga chiêu mộ các nhóm tội phạm mạng cho các công việc liên kết quốc gia . Tóm lại, GreyVibe dường như là một nhóm có mức độ tinh vi từ thấp đến trung bình, nhưng thông qua việc tích cực vũ khí hóa AI, chúng đã "chơi trên cơ" với hiệu quả chiến dịch chết người .