AI助紂為虐：揭秘GreyVibe如何用ChatGPT炮製惡意軟件 全方位監控烏克蘭

人類同AI「合作」嘅武器庫

GreyVibe之所以咁有效率，全靠一套度身訂造嘅惡意軟件組合。WithSecure有中等程度嘅信心評估，呢批軟件其中有唔少部分係喺ChatGPT同Gemini呢類大型語言模型（LLM）嘅「大力協助」下開發出嚟嘅。不過，AI寫code始終會有「手尾」，呢啲設計缺陷成為咗佢哋操作上嘅致命錯誤，反而令研究人員有幾個月時間可以睇清楚個組織嘅活動 。

• PhantomRelay：一個Windows遠端存取木馬（RAT），係主要嘅初始入侵工具，通常透過PyInstaller或者JavaScript載入器嚟派送 。
• LegionRelay：一個更加多用途嘅第二階段工具，係一個用PowerShell寫嘅木馬，透過REST API同指揮控制（C2）伺服器溝通。佢嘅功能包括列舉同偷取檔案、螢幕截圖、由瀏覽器、Telegram同WhatsApp度偷資料，同埋開RDP遠端桌面連線。研究人員喺LegionRelay入面發現咗一啲關鍵嘅編碼缺陷，佢哋判斷呢啲缺陷正正係由LLM輔助開發而直接導致嘅 。
• FallSpy：一個Android監控工具，自2025年8月起喺PrincessClub同Nebo戰役入面使用。佢會收集通訊錄、通話記錄、已安裝嘅應用程式、SIM卡資料、裝置資訊、Wi-Fi SSID、位置、公共IP同媒體檔案 。
• 輪換式混淆器：為咗避過偵測，呢個組織會輪流使用唔同嘅自訂載入器同混淆器，包括LOOKVALPS（PowerShell）、LOOKVALJS（JavaScript）、DAYLIGHT（PowerShell，由2025年10月起取代LOOKVALPS）同TEASOUP（JavaScript，由2026年3月起取代LOOKVALJS） 。

國家級黑客？網絡罪犯？定係「二合一」？

雖然GreyVibe嘅活動明顯係為俄羅斯國家利益服務，但呢個組織嘅身份，並唔係簡單一句「國家級黑客」可以概括。WithSecure嘅分析指向一個更加複雜嘅混合身份。

研究人員有高度信心認為，GreyVibe嘅行動同俄羅斯喺俄烏衝突中嘅情報收集目標一致，呢點可以從受害者類型（軍事、政府同關鍵基礎設施目標）同埋觀察到嘅行動目標睇得出 。佢哋同樣有高度信心，認為操作人員係講俄語，並且喺莫斯科時區（UTC+3）工作，呢個係根據程式碼入面嘅註解、管理面板嘅語言設定，同埋分析佢哋嘅工作時間得出嘅結論 。

不過，要確定佢哋係咪一個純粹嘅國家級APT組織，研究人員就冇咁大信心。有幾個線索顯示，佢哋同網絡犯罪生態系統有好強嘅聯繫。例如，PhantomRelay嘅變種曾經喺一啲唔相關嘅網絡犯罪群組入面出現，而佢哋仲用咗一個可能同臭名昭著嘅TrickBot生態系統有關嘅獨特ISO產生器。其他指標仲包括：操作人員會將開發樣本上傳到VirusTotal、用網絡用語嚟命名（好似 "letsrollboyos" 同 "cuteuwu" 咁），同埋喺一啲感染咗LegionRelay嘅電腦上面裝咗個XMRig加密貨幣挖礦程式 。

WithSecure有中等程度嘅信心評估，GreyVibe同更廣泛嘅犯罪地下世界有聯繫，但呢種關係嘅確切性質——係被「收編」嘅黑客、外判嘅合作夥伴，定係混合團隊——仍然係一個謎。不過，報告亦都指出，俄羅斯情報機構過往有吸納網絡犯罪組織為國家工作嘅先例 。總而言之，GreyVibe睇落似係一個技術水平唔算好高嘅組織，但透過佢哋進取咁將AI武器化，令到佢哋可以「越級挑戰」，產生致命嘅行動效果 。