Хакеры GREYVIBE использовали ChatGPT и Gemini для подготовки атак

Исследователи описали группу, которая применяла генеративный ИИ для фишинга, создания фальшивых сайтов, вредоносных загрузчиков и скриптов после заражения

Группа GREYVIBE использовала ChatGPT, Google Gemini и Ideogram AI при подготовке кибератак. Исследователи WithSecure Labs описали её как ранее не задокументированную активность, в которой генеративный ИИ встроен почти во весь рабочий процесс: от создания приманок до разработки вредоносных компонентов.

Активность GREYVIBE отслеживают с августа 2025 года. Целями становились украинские военные, государственные, гражданские и коммерческие организации. В материалах атак нашли русскоязычные комментарии, административные панели на русском языке, настройки систем под московский часовой пояс и признаки работы операторов по графику UTC+3.

GREYVIBE применяла несколько схем доставки вредоносного ПО.

Один из основных вариантов — адресный фишинг. Жертвам отправляли письма со ссылками на архивы ZIP или RAR, размещенные на сторонних файловых сервисах, включая Google Drive и 4sync. После распаковки пользователь запускал файл, собранный через PyInstaller или JavaScript-загрузчик.

На экране появлялся отвлекающий документ или сообщение об ошибке. В фоне запускалась цепочка заражения PhantomRelay — PowerShell-трояна удаленного доступа.

Другой сценарий строился вокруг фальшивых CAPTCHA-страниц. Пользователь попадал на страницу, похожую на проверку безопасности, и получал инструкцию выполнить команду. Такой подход известен как ClickFix: злоумышленники убеждают человека самому запустить вредоносную команду под видом проверки браузера.

GREYVIBE также использовала поддельные сайты, замаскированные под Zoom-конференции, благотворительные инициативы и сервисы для взрослых. В одной из кампаний, которую исследователи называют PrincessClub, жертв заманивали через фальшивые профили в Telegram и на сайтах знакомств. После перехода на сайт пользователю предлагали загрузить приложение или файл, который приводил к заражению Windows или Android-устройства.

Для Android использовался FallSpy — шпионское ПО, которое собирало контакты, журнал звонков, список приложений, данные SIM-карт, сведения об устройстве, Wi-Fi-сети, последнюю известную геолокацию, публичный IP-адрес и медиафайлы.

Главные Windows-инструменты GREYVIBE — PhantomRelay и LegionRelay.

PhantomRelay — PowerShell-RAT, то есть троян удалённого доступа на PowerShell. Он собирает сведения о системе, связывается с сервером управления через WebSocket и получает команды от оператора.

LegionRelay — более легкий PowerShell-инструмент, который работает через REST API. Через него операторы могли запускать команды, собирать файлы, делать скриншоты, выгружать данные браузеров, получать доступ к Telegram и WhatsApp, настраивать RDP и выполнять дополнительные PowerShell-скрипты.

Отдельно описаны загрузчики и обфускаторы LOOKVALPS, LOOKVALJS, DAYLIGHT и TEASOUP. Обфускация нужна, чтобы усложнить анализ кода и затруднить обнаружение простыми средствами защиты.

WithSecure указывает, что часть этих компонентов могла быть создана или доработана с помощью больших языковых моделей. В коде LegionRelay исследователи нашли проектные ошибки, похожие на результат разработки через LLM. Для защитников эти ошибки оказались полезны: они дали ограниченную видимость серверной логики и помогли отслеживать активность группы.

Генеративный ИИ применялся в нескольких слоях операции.

На этапе социальной инженерии модели помогали готовить тексты, изображения и сайты. Это снижало требования к языковым навыкам и дизайну: приманки выглядели аккуратнее, быстрее адаптировались под нужную аудиторию и не требовали отдельной команды контентщиков.

На этапе разработки ИИ мог использоваться для генерации загрузчиков, обфускаторов, серверных компонентов и вспомогательных скриптов. Это особенно важно для групп средней квалификации: модель закрывает пробелы в синтаксисе, подсказывает структуру кода и ускоряет сборку типовых модулей.