**GREYVIBE**: Ein neuer Akteur in der Cyber-Spionage-Arena Laut einem Bericht von **WithSecure** wird **GREYVIBE** als russischsprachige Gruppe eingeschätzt, die innerhalb der russischen Zeitzone operiert. Ihre Aktivitäten stimmen mit den Interessen des Kremls überein und konzentrieren sich speziell auf die Sammlung von Informationen im Zusammenhang mit dem andauernden russisch-ukrainischen Krieg. "Die Gruppe hat mehrere Angriffsvektoren genutzt, darunter Spear-Phishing-E-Mails, gefälschte Captcha-Seiten und betrügerische ukrainische Erotik-Websites, um Malware an eine Vielzahl von Opfern zu liefern", sagte **WithSecure**-Forscher Mohammad Kazem Hassan Nejad. Er fügte hinzu, dass die Gruppe auf selbst entwickelte Obfuskatoren, Loader und Malware angewiesen ist. Die Opfer reichen von militärischen, staatlichen, zivilen und geschäftsbezogenen Organisationen. Trotz ihrer staatlich unterstützten Aktivitäten teilt **GREYVIBE** auch Verbindungen zum breiteren russischen Cybercrime-Ökosystem, wobei einige Mitglieder als aktuelle oder ehemalige Cyberkriminelle gelten. KI-gestützte Operationen Beweise deuten darauf hin, dass **GREYVIBE** generative künstliche Intelligenz (GenAI) und große Sprachmodelle (LLMs) nutzt, um seine Operationen zu verbessern. **WithSecure** beschreibt die Gruppe als "wenig bis mäßig anspruchsvoll", merkt aber an, dass KI-gestützte Werkzeuge ihre Bemühungen zur Malware-Entwicklung ergänzen. Angriffsketten im Einsatz **GREYVIBE** setzt mehrere Angriffsketten ein, darunter: * **PhantomMail**: Spear-Phishing-E-Mails, die bösartige ZIP- oder RAR-Archive liefern, die auf Google Drive und 4sync gehostet werden. Diese enthalten JavaScript-basierte Loader und ein Ablenkungsdokument sowie PhantomRelay, einen PowerShell-basierten Remote-Access-Trojaner (RAT). * **PhantomClick**: Nutzt gefälschte CAPTCHA-Seiten im ClickFix-Stil auf betrügerischen Domains, die sich als Zoom und LAPAS ausgeben, um Benutzer dazu zu verleiten, Befehle auszuführen, die eine PhantomRelay-Infektionskette initiieren. * **PrincessClub**: Verwendet gefälschte ukrainische Erotik-Club-Websites, um FallSpy unter Android und PhantomRelayV1 oder LegionRelay unter Windows zu liefern. Spätere Iterationen beinhalten eine WebRTC-basierte Live-Anruffunktion zur Erfassung von Audio und Video. FallSpy ist eine Android-Spyware, während LegionRelay ein leichtgewichtiger PowerShell-basierter RAT ist. * **DroneLink**: Nutzt Websites, die sich als wohltätige Stiftungen zur Unterstützung der Streitkräfte der Ukraine ausgeben, um WireGuard und LegionRelay zu liefern. * **Nebo**: Setzt eine FallSpy-Probe ein, die einen russischsprachigen Anmeldebildschirm imitiert und wahrscheinlich ukrainisches Militärpersonal ins Visier nimmt. Rolle der KI bei der Malware-Entwicklung Die vielfältigen Liefervektoren und Werkzeuge sind wahrscheinlich das Ergebnis der Nutzung von KI-Plattformen wie Ideogram AI, OpenAI ChatGPT und Google Gemini zur Generierung von Bildern und zur Entwicklung von LegionRelay sowie von Obfuskations- und Loader-Skripten, Backend-Infrastruktur und Post-Kompromittierungs-Befehlen. Laut **WithSecure** bietet die KI-Nutzung mehrere Vorteile: * Überbrückung von Lücken in der technischen Expertise * Beschleunigung des Entwicklungszyklus * Reduzierung der Abhängigkeit von bisher bekannter Malware oder Tools  Herausforderungen bei der Zuordnung "Wenn ein Akteur mit KI-Unterstützung seine operative Infrastruktur häufig generieren, refaktorieren oder ersetzen kann, werden traditionelle Clustering-Methoden, die auf stabilen technischen Artefakten basieren, mit der Zeit möglicherweise weniger zuverlässig", erklärte Nejad. Die KI-Nutzung hat jedoch auch Designfehler in LegionRelay eingeführt, die seine Backend-Funktionalität offenlegen, was darauf hindeutet, dass **GREYVIBE** möglicherweise kein rein staatlich gesponserter Akteur ist. Verbindungen zur Cyberkriminalität Die Verbindungen der Gruppe zum Cybercrime-Ökosystem basieren auf Faktoren wie: * Möglicher Zugriff auf einen ISO-Builder mit vermuteten Verbindungen zur **TrickBot**-Gang und UAC-0098. * PhantomRelay-Varianten, die in scheinbar unzusammenhängenden Cybercrime-Aktivitätsclustern auftauchen, darunter eine **Microsoft** Teams Voice-Phishing-Kampagne und eine KongTuke-Lieferkette, die ClickFix verwendet. * Hochladen früher Entwicklungsproben auf VirusTotal. * Verwendung von Internet-Slang-Begriffen in Namenskonventionen. * Bereitstellung des XMRig-Miners auf infizierten Maschinen. **WithSecure** schätzt mit moderater Zuversicht, dass die Gruppe Verbindungen zum breiteren Cybercrime-Ökosystem hat, und mit geringer bis moderater Zuversicht, dass sie aktuelle oder ehemalige Cyberkriminelle umfasst. Die genaue Natur ihrer Beziehung zum russischen Staat bleibt unklar. "Die Gruppe besetzt eine Grauzone zwischen Cyberkriminalität und staatlich unterstützter Aktivität, was die Zuordnungsbemühungen erschwert und traditionelle Unterscheidungen zwischen diesen Kategorien verwischt."