Un actor de amenazas previamente indocumentado apodado GREYVIBE se ha atribuido a ataques continuos y persistentes contra Ucrania y entidades relacionadas con Ucrania desde al menos agosto de 2025.
GREYVIBE, según WithSecure, se considera un grupo de habla rusa que opera ampliamente en la zona horaria rusa, con actividades alineadas con los intereses estatales del Kremlin, específicamente cuando se trata de esfuerzos de recopilación de inteligencia dirigidos a Ucrania en el contexto de la guerra ruso-ucraniana en curso.
«El grupo ha aprovechado múltiples vectores de ataque, incluidos correos electrónicos de phishing, páginas captcha falsas y sitios web fraudulentos de clubes para adultos ucranianos, para entregar malware a un conjunto diverso de víctimas», dijo en un análisis el investigador de WithSecure, Mohammad Kazem Hassan Nejad. «A lo largo de estas campañas, el grupo se ha basado en ofuscadores, cargadores y malware desarrollados a medida».
La huella de la victimología abarca organizaciones militares, gubernamentales, civiles y empresariales. GREYVIBE, a pesar de su actividad afiliada a un estado-nación, también comparte vínculos con el ecosistema de cibercrimen ruso más amplio a través de algunos de sus miembros que se cree que son actores cibercriminales actuales o anteriores.
Además, hay evidencia que indica que el adversario confía en la inteligencia artificial generativa (GenAI) y los grandes modelos de lenguaje (LLM) para potenciar sus operaciones. En conjunto, WithSecure presenta el panorama de un «grupo poco a moderadamente sofisticado» que sufre errores de seguridad operativa y emplea herramientas asistidas por IA para aumentar sus esfuerzos de desarrollo de malware.
Se ha observado que GREYVIBE utiliza múltiples cadenas de ataques contra sus objetivos:
- Correo fantasmaque utiliza correos electrónicos de phishing para distribuir enlaces que apuntan a archivos ZIP o RAR maliciosos alojados en Google Drive y 4sync que contienen cargadores basados en JavaScript para lanzar un documento señuelo, y PhantomRelay, un troyano de acceso remoto (RAT) basado en PowerShell diseñado para perfilar el host y ejecutar scripts de PowerShell y comandos de Windows.
- clic fantasmaque utiliza páginas CAPTCHA falsas al estilo ClickFix en dominios falsos que se hacen pasar por Zoom y LAPAS para engañar a los usuarios para que ejecuten comandos que inician una cadena de infección PhantomRelay.
- princesaclubque utiliza sitios web falsos de clubes para adultos ucranianos para ofrecer FallSpy en Android y PhantomRelayV1 o LegionRelay en Windows, con iteraciones posteriores de los sitios señuelo que introducen una función de llamada en vivo basada en WebRTC para capturar audio y video de la víctima. Si bien FallSpy es un software espía de Android capaz de recopilar datos confidenciales del dispositivo comprometido, LegionRelay es un RAT liviano basado en PowerShell que admite la enumeración de archivos, la exfiltración de archivos, la captura de capturas de pantalla, el robo de datos del navegador, la exfiltración de datos de Telegram y WhatsApp y la configuración de acceso RDP. PhantomRelayV1 es una variante de PhantomRelay con un mecanismo de persistencia de vigilancia personalizado.
- Enlace Droneque utiliza sitios web que se hacen pasar por fundaciones benéficas que apoyan a las Fuerzas Armadas de Ucrania para ofrecer WireGuard y LegionRelay.
- Oque utiliza una muestra de FallSpy que imita una pantalla de inicio de sesión en ruso, probablemente en un intento de engañar al personal militar ucraniano haciéndoles creer que estaban accediendo a una terminal militar rusa.
La variedad de vectores de entrega y herramientas utilizadas en los ataques probablemente se deba al uso de plataformas de inteligencia artificial, incluidas Ideogram AI, OpenAI ChatGPT y Google Gemini, para ayudar a generar imágenes y desarrollar LegionRelay, así como scripts de ofuscación y carga, infraestructura de backend y comandos posteriores al compromiso.
La compañía de ciberseguridad dijo que el uso de IA por parte de GREYVIBE ofrece múltiples ventajas, incluida la reducción de brechas en la experiencia técnica, la aceleración del ciclo de vida del desarrollo y la reducción de la dependencia de malware o herramientas previamente conocidos que podrían ayudar en los esfuerzos de atribución.
«Si un actor puede generar, refactorizar o reemplazar con frecuencia componentes de su huella operativa con asistencia de IA, los métodos tradicionales de agrupación basados en artefactos técnicos estables pueden volverse menos confiables con el tiempo», dijo Nejad.
Dicho esto, el uso de IA también ha tenido el efecto secundario de introducir fallas de diseño en LegionRelay, exponiendo la funcionalidad backend del malware. Esta es otra señal que sugiere que GREYVIBE puede no ser un actor puro de Estado-nación, ya que es poco probable que adversarios sofisticados cometan tales errores.
Los vínculos del grupo de hackers con el ecosistema cibercriminal se basan en múltiples factores:
- Posible acceso y uso de un constructor ISO con vínculos sospechosos con la pandilla TrickBot y UAC-0098
- Presencia de variantes de PhantomRelay en grupos de actividad de delitos cibernéticos aparentemente no relacionados, como una campaña de phishing de voz de Microsoft Teams entre julio de 2025 y febrero de 2026, y una cadena de entrega de KongTuke entre finales de febrero y finales de marzo de 2026 que utilizó ClickFix para distribuir el malware.
- La carga de muestras de prueba y desarrollo inicial a VirusTotal
- Uso de términos de jerga de Internet como «letsrollboyos», «totallyunsus» y «cuteuwu» como convenciones de nomenclatura para artefactos de desarrollo.
- La implementación del minero XMRig en una pequeña cantidad de máquinas infectadas con LegionRelay
«En conjunto, evaluamos con confianza moderada que el grupo tiene vínculos con el ecosistema de cibercrimen más amplio, y con confianza baja a moderada que involucra a miembros cibercriminales actuales o anteriores», dijo WithSecure. «La naturaleza exacta de su relación con el Estado ruso sigue sin estar clara, si dichos miembros han sido absorbidos por un grupo respaldado por el Estado, si operan de forma independiente bajo tareas dirigidas por el Estado o si han formado un equipo híbrido».
«El grupo ocupa un área gris entre el cibercrimen y la actividad afiliada al Estado, lo que complica los esfuerzos de atribución y desdibuja las distinciones tradicionales entre estas categorías».