俄罗斯关联黑客组织 GreyVibe 利用 AI 对乌克兰发起超级间谍战

• PhantomMail（幻影邮件）：最传统的入口，也是最狡猾的伪装。黑客假冒乌克兰政府或能源机构，发出带有 Google Drive 或 4sync 网盘链接的钓鱼邮件。受害者一旦点开那个 ZIP 或 RAR 压缩包，PhantomRelay 就会在后台悄然部署，同时屏幕则会弹出伪造的官方 PDF 或者一个看似“正常”的报错弹窗 。
• PhantomClick（幻影点击）：钓鱼玩法的升级版。受害者会收到来自仿冒乌克兰总统府办公室的 PDF，其中夹带着一个 Zoom 会议链接。当你点击并通过“伪装的 Cloudflare 验证码”时，实际上正亲手复制并执行黑客预设的恶意 PowerShell 命令。诡异的是，你最终真的会进入一个正常的 Zoom 会议——可疑的痕迹就这样被抹得一干二净 。
• PrincessClub（公主俱乐部）：瞄准个人隐私的陷阱。攻击者在 Telegram 上冒充受害者的熟人，诱导其访问虚构的色情网站，一旦上钩，设备就会感染名为 FallSpy 的安卓间谍软件 。
• DroneLink（无人机链路）：精准刺探乌克兰国防体系。利用无人机和军事主题的诱饵文件，试图渗透相关网络 。
• Nebo（涅波）：与上述攻势自 2025 年 8 月起并发运作，同样分发 FallSpy 间谍软件，但使用了一套完全不同的定制加载器，显示了行动背后强大的工具开发能力 。

人机共生的病毒工具箱

GreyVibe 之所以能掀起如此大浪，核心在于其一套既由人工也由 AI 混合打造的独门工具。不过，WithSecure 评估认为，使用 ChatGPT 和 Gemini 等大语言模型 (LLM) 写代码的“坏习惯”虽然加速了开发，但也给程序留下了严重的设计缺陷——这成了他们的“致命伤”，研究人员借此窥见了攻击者持续数月的实时动态 。

• PhantomRelay：核心 Windows 远控木马 (RAT)，通常借由 PyInstaller 打包或 JavaScript 加载器潜入，是拿到目标系统首杀的关键武器 。
• LegionRelay：更灵活的二代 PowerShell RAT，通过 REST API 和幕后主控 (C2) 通话。功能包括扫描并盗取各类文件、截屏、窃取浏览器及 Telegram 和 WhatsApp 聊天数据，甚至还能开 RDP 远程桌面。研究人员在它身上发现了“AI 代工痕迹”——那些典型的不协调代码逻辑是 LLM 协助的直接证据 。
• FallSpy：专门针对安卓手机的监视工具，自 2025 年 8 月起活跃。能搜刮通讯录、通话记录、已装应用、SIM 卡信息、详细设备参数、Wi-Fi 名、位置、公网 IP 以及所有媒体文件 。
• 迭代变形套：为了躲避杀软，还持续轮换混淆器和加载器，包括初代的 LOOKVALPS (PowerShell) 和 LOOKVALJS (JavaScript)，以及从 2025 年 10 月和 2026 年 3 月起接班的 DAYLIGHT 和 TEASOUP 。

国家黑客、赚黑钱的，还是缝合怪？

为俄罗斯情报做事的意图很明显，但 GreyVibe 的身份归属却不像传统“国家高级持续性威胁（APT）”那么简单。WithSecure 在报告里给出了一个充满灰色地带的拼图。

高可信度的发现是：受害者名单和窃取目标精准服务于俄罗斯在俄乌冲突中的情报诉求；操作者使用俄语，按莫斯科时间（UTC+3）作息——这点从代码注释、中控台语言和作息规律分析中都有印证 。

但另一面，低至中等可信度的线索指向了它和网络黑产圈子的暧昧关系。例如：PhantomRelay 的变种在不相干的电诈组织中现身；用了一个可能源自“TrickBot”生态（恶名远扬的黑产僵尸网络）的 ISO 封装器；把样本直接往 VirusTotal（公开扫描平台）上传；用 “letsrollboyos”、“cuteuwu” 等网络俚语来命名；甚至在部分控制住的机器上还搞门罗币挖矿 。

因此，该组织究竟是俄罗斯官方收编的黑客，还是外包雇佣兵，又或是一个混合团队，目前还没有定论。但报告强调了一个历史注脚：俄罗斯情报机构早就干过征召网络黑帮干“皇差”的事。总而言之，WithSecure 将 GreyVibe 概括为一个技术底子不算顶尖的“中等生”，但因狂热地武器化生成式 AI 而变得“攻击杀伤性极强”，实实在在地打出了“超常发挥”的水平 。