Se cree que un actor de amenazas previamente indocumentado conocido como GREYVIBE ha estado realizando ataques sostenidos y persistentes contra Ucrania y entidades afiliadas a Ucrania desde al menos agosto de 2025.
Según WithSecure, se considera que GREYVIBE es un grupo de habla rusa ampliamente activo en la zona horaria rusa y cuyas actividades están en línea con los intereses nacionales del Kremlin, particularmente cuando se trata de actividades de recopilación de inteligencia dirigidas a Ucrania en el contexto de la actual guerra entre Rusia y Ucrania.
«El grupo utilizó múltiples vectores de ataque, incluidos correos electrónicos de phishing, páginas de captura falsas y sitios web fraudulentos de clubes para adultos ucranianos, para entregar malware a varias víctimas», dijo en un análisis el investigador de WithSecure, Mohammad Kazem Hassan Nejad. «A lo largo de estas campañas, el grupo se ha basado en ofuscadores, cargadores y malware desarrollados a medida».
La huella de las víctimas abarca organizaciones militares, gubernamentales, civiles y empresariales. A pesar de sus operaciones relacionadas con el estado, GREYVIBE también comparte vínculos con el ecosistema de ciberdelincuencia ruso más amplio a través de algunos de sus miembros que se cree que son ciberdelincuentes actuales o anteriores.
Además, hay evidencia de que los actores de amenazas confían en la inteligencia artificial generativa (GenAI) y los modelos de lenguaje a gran escala (LLM) para mejorar sus operaciones. En conjunto, WithSecure presenta una imagen de un «grupo de sofisticación baja a moderada» plagado de fallas de seguridad operativa y que aprovecha herramientas asistidas por IA para mejorar sus esfuerzos de desarrollo de malware.
Se ha observado que GREYVIBE utiliza múltiples cadenas de ataques contra sus objetivos:
PhantomMail utiliza correos electrónicos de phishing para distribuir enlaces que apuntan a archivos ZIP o RAR maliciosos alojados en Google Drive, 4sync, que contiene un cargador basado en JavaScript que lanza documentos señuelo, y PhantomRelay, un troyano de acceso remoto (RAT) basado en PowerShell diseñado para perfilar hosts y ejecutar scripts de PowerShell y comandos de Windows. PhantomClick utiliza páginas CAPTCHA falsas de estilo ClickFix en dominios falsos disfrazados de Zoom o LAPAS para engañar a los usuarios para que ejecuten comandos que inician la cadena de infección PhantomRelay. PrincessClub utiliza un sitio web falso de un club de adultos ucraniano para distribuir FallSpy en Android y PhantomRelayV1 o LegionRelay en Windows. Las iteraciones posteriores de este sitio señuelo han introducido la funcionalidad de llamadas en vivo basada en WebRTC para capturar audio y video de las víctimas. FallSpy es un software espía de Android que puede recopilar datos confidenciales de dispositivos comprometidos, mientras que LegionRelay es un RAT liviano basado en PowerShell que admite enumeración y extracción de archivos, captura de capturas de pantalla, robo de datos del navegador, extracción de datos de Telegram y WhatsApp, y configuración de acceso RDP. PhantomRelayV1 es una variante de PhantomRelay con un mecanismo de persistencia de vigilancia personalizado. DroneLink distribuye WireGuard y LegionRelay mediante un sitio web que se hace pasar por una fundación benéfica que apoya a las Fuerzas Armadas de Ucrania. Nebo utiliza una muestra de FallSpy que imita una pantalla de inicio de sesión rusa, probablemente con la intención de engañar al personal militar ucraniano haciéndoles creer que están accediendo a un dispositivo militar ruso.
Los diversos vectores de entrega y herramientas utilizados en el ataque probablemente surjan del uso de plataformas de inteligencia artificial como Ideogram AI, OpenAI ChatGPT y Google Gemini para ayudar a generar imágenes y desarrollar LegionRelay, así como scripts de carga y ofuscados, infraestructura de backend y comandos posteriores al compromiso.
La empresa de ciberseguridad dice que el uso de IA por parte de GREYVIBE tiene múltiples beneficios, incluida la reducción de brechas en la experiencia técnica, la aceleración de los ciclos de vida de desarrollo y la reducción de la dependencia de malware conocido y herramientas para ayudar en los esfuerzos de atribución.
«Las técnicas de agrupación tradicionales basadas en artefactos técnicos estables pueden volverse menos confiables con el tiempo si los adversarios pueden generar, refactorizar o reemplazar con frecuencia componentes de su huella operativa con asistencia de IA», dijo Nejad.
Sin embargo, el uso de IA también tuvo el efecto secundario de introducir un error de diseño en LegionRelay y exponer la funcionalidad backend del malware. Esta es otra señal de que GREYVIBE puede no ser un actor puro de Estado-nación, ya que es poco probable que un adversario sofisticado cometa tal error.
El vínculo entre los grupos de hackers y el ecosistema del cibercrimen se basa en múltiples factores.
Posible acceso y uso de creadores de ISO con vínculos sospechosos con la pandilla TrickBot y variantes de PhantomRelay UAC-0098 presentes en grupos aparentemente no relacionados de actividad cibercriminal, incluidas las campañas de phishing de voz de Microsoft Teams de julio de 2025 a febrero de 2026 y la cadena de entrega KongTuke que utilizó ClickFix para distribuir malware. Carga de desarrollo inicial y muestras de prueba en VirusTotal Utilice términos de jerga de Internet como «letsrollboyos», «totallyunsus» y «cuteuwu» como convención de nomenclatura para los artefactos de desarrollo. Implementación del minero XMRig en una pequeña cantidad de máquinas infectadas con LegionRelay
«En general, evaluamos con confianza media que este grupo tiene vínculos con el ecosistema cibercriminal más amplio, y con confianza baja a media que miembros cibercriminales actuales o anteriores estén involucrados», dijo WithSecure. «La naturaleza exacta de su relación con el Estado ruso sigue sin estar clara, si dichos miembros han sido absorbidos por grupos respaldados por el Estado, operan de forma independiente bajo misiones dirigidas por el Estado o forman equipos híbridos».
«Este grupo ocupa un área gris entre el delito cibernético y la actividad relacionada con el Estado, lo que complica los esfuerzos de atribución y desdibuja las distinciones tradicionales entre estas categorías».
Source link
