Nieuwe aan Rusland gelinkte GREYVIBE richt zich op Oekraïne met AI-aangedreven cyberaanvallen

Cyberbeveiliging
Nieuwe aan Rusland gelinkte GREYVIBE richt zich op Oekraïne met AI-aangedreven cyberaanvallen

Een voorheen ongedocumenteerde dreigingsacteur genaamd GRIJZE VIBE wordt toegeschreven aan aanhoudende en aanhoudende aanvallen gericht op Oekraïne en aan Oekraïne gerelateerde entiteiten sinds ten minste augustus 2025.

GREYVIBE wordt volgens WithSecure beschouwd als een Russischsprekende groep die breed opereert in de Russische tijdzone, waarbij de activiteiten aansluiten bij de staatsbelangen van het Kremlin, met name als het gaat om het verzamelen van inlichtingen gericht op Oekraïne in de context van de aanhoudende Russisch-Oekraïense oorlog.

“De groep heeft gebruik gemaakt van meerdere aanvalsvectoren, waaronder spear-phishing-e-mails, nep-captcha-pagina’s en frauduleuze Oekraïense websites voor volwassenenclubs, om malware te bezorgen aan een diverse groep slachtoffers”, zei WithSecure-onderzoeker Mohammad Kazem Hassan Nejad in een analyse. “Bij deze campagnes heeft de groep vertrouwd op op maat ontwikkelde obfuscators, laders en malware.”

De slachtofferrol omvat militaire, overheids-, civiele en bedrijfsgerelateerde organisaties. GREYVIBE deelt, ondanks haar aan de natiestaat gelieerde activiteiten, ook banden met het bredere Russische cybercriminaliteitsecosysteem via enkele van haar leden, waarvan wordt aangenomen dat ze huidige of voormalige cybercriminele actoren zijn.

Bovendien zijn er aanwijzingen dat de tegenstander vertrouwt op generatieve kunstmatige intelligentie (GenAI) en grote taalmodellen (LLM’s) om zijn activiteiten een impuls te geven. Alles bij elkaar schetst WithSecure het beeld van een ‘laag tot middelmatig geavanceerde groep’ die lijdt onder operationele beveiligingsblunders en gebruik maakt van AI-ondersteunde tools om zijn inspanningen op het gebied van de ontwikkeling van malware te vergroten.

Er is waargenomen dat GREYVIBE meerdere aanvalsketens gebruikt tegen zijn doelen –

  • PhantomMaildat spear-phishing-e-mails gebruikt om links te verspreiden die verwijzen naar kwaadaardige ZIP- of RAR-archieven gehost op Google Drive en 4sync die op JavaScript gebaseerde laders bevatten om een ​​lokdocument te starten, en PhantomRelay, een op PowerShell gebaseerde trojan voor externe toegang (RAT) die is ontworpen om de host te profileren en PowerShell-scripts en Windows-opdrachten uit te voeren.
  • PhantomKlikdat valse CAPTCHA-pagina’s in ClickFix-stijl gebruikt op valse domeinen die zich voordoen als Zoom en LAPAS om gebruikers te misleiden zodat ze opdrachten uitvoeren die een PhantomRelay-infectieketen initiëren.
  • PrinsesClubdat nep-Oekraïense websites voor volwassenenclubs gebruikt om FallSpy op Android en PhantomRelayV1 of LegionRelay op Windows te leveren, waarbij daaropvolgende iteraties van de kunstaassites een op WebRTC gebaseerde live-oproepfunctie introduceren om audio en video van slachtoffers vast te leggen. Hoewel FallSpy een Android-spyware is die gevoelige gegevens van het aangetaste apparaat kan verzamelen, is LegionRelay een lichtgewicht PowerShell-gebaseerde RAT die bestandsopsomming, bestandsexfiltratie, screenshot-opname, browsergegevensdiefstal, Telegram- en WhatsApp-gegevensexfiltratie en RDP-toegangsconfiguratie ondersteunt. PhantomRelayV1 is een variant van PhantomRelay met een aangepast watchdog-persistentiemechanisme.
  • DroneLinkdat websites gebruikt die zich voordoen als liefdadigheidsstichtingen die de strijdkrachten van Oekraïne ondersteunen bij het leveren van WireGuard en LegionRelay.
  • Nebodat een FallSpy-voorbeeld gebruikt dat een Russisch-talig inlogscherm nabootst, waarschijnlijk in een poging Oekraïens militair personeel te misleiden door te denken dat ze toegang hadden tot een Russische militaire terminal.

De verscheidenheid aan leveringsvectoren en tools die bij de aanvallen worden gebruikt, komt waarschijnlijk voort uit het gebruik van AI-platforms, waaronder Ideogram AI, OpenAI ChatGPT en Google Gemini, om te helpen bij het genereren van afbeeldingen en het ontwikkelen van LegionRelay, evenals verduisterings- en laadscripts, backend-infrastructuur en post-compromisopdrachten.

Het cyberbeveiligingsbedrijf zei dat GREYVIBE’s gebruik van AI meerdere voordelen biedt, waaronder het overbruggen van hiaten in technische expertise, het versnellen van de ontwikkelingslevenscyclus en het verminderen van de afhankelijkheid van eerder bekende malware of tools die kunnen helpen bij attributie-inspanningen.

“Als een actor regelmatig componenten van zijn operationele voetafdruk kan genereren, refactoren of vervangen met AI-hulp, kunnen traditionele clustermethoden op basis van stabiele technische artefacten in de loop van de tijd minder betrouwbaar worden”, aldus Nejad.

Dat gezegd hebbende, heeft het gebruik van AI ook als neveneffect gehad dat er ontwerpfouten in LegionRelay zijn geïntroduceerd, waardoor de backend-functionaliteit van de malware bloot is komen te liggen. Dit is opnieuw een teken dat GREYVIBE wellicht geen zuivere natiestatelijke actor is, aangezien het onwaarschijnlijk is dat geavanceerde tegenstanders dergelijke fouten zullen maken.

De banden van de hackgroep met het cybercriminele ecosysteem zijn gebaseerd op meerdere factoren:

  • Mogelijke toegang tot en gebruik van een ISO-builder met vermoedelijke banden met de TrickBot-bende en UAC-0098
  • Aanwezigheid van PhantomRelay-varianten in ogenschijnlijk niet-gerelateerde clusters van cybercriminaliteitsactiviteiten, zoals een Microsoft Teams voice phishing-campagne tussen juli 2025 en februari 2026, en een KongTuke-leveringsketen tussen eind februari en eind maart 2026 die ClickFix gebruikte om de malware te verspreiden.
  • Het uploaden van vroege ontwikkelings- en testvoorbeelden naar VirusTotal
  • Gebruik van internettermen als ‘letsrollboyos’, ’totallyunsus’ en ‘cuteuwu’ als naamgevingsconventies voor ontwikkelingsartefacten.
  • De inzet van XMRig miner op een klein aantal met LegionRelay geïnfecteerde machines

“Samen genomen beoordelen we met matig vertrouwen dat de groep banden heeft met het bredere cybercriminaliteitsecosysteem, en met laag tot matig vertrouwen dat het huidige of voormalige leden van cybercriminelen betreft”, aldus WithSecure. “De exacte aard van hun relatie met de Russische staat blijft onduidelijk: of dergelijke leden zijn opgegaan in een door de staat gesteunde groep, onafhankelijk opereren onder een door de staat geleide taak, of een hybride team hebben gevormd.”

“De groep bevindt zich in een grijs gebied tussen cybercriminaliteit en aan de staat gelieerde activiteiten, wat de attributie-inspanningen bemoeilijkt en de traditionele verschillen tussen deze categorieën vervaagt.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Wat 2.000 blootgestelde Vibe-gecodeerde apps onthullen over de grenzen van de meeste beveiligingsstacks

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]