**GREYVIBE**: Un Nuevo Jugador en la Arena del Ciberespionaje Según un informe de **WithSecure**, se evalúa que **GREYVIBE** es un grupo de habla rusa que opera dentro de la zona horaria rusa. Sus actividades se alinean con los intereses estatales del Kremlin, centrándose específicamente en la recopilación de inteligencia relacionada con la guerra en curso entre Rusia y Ucrania. "El grupo ha aprovechado múltiples vectores de ataque, incluyendo correos electrónicos de spear-phishing, páginas falsas de CAPTCHA y sitios web fraudulentos de clubes de adultos ucranianos, para entregar malware a un conjunto diverso de víctimas", dijo **WithSecure** investigador Mohammad Kazem Hassan Nejad. Añadió que el grupo confía en ofuscadores, cargadores y malware desarrollados a medida. La victimología abarca organizaciones militares, gubernamentales, civiles y empresariales. A pesar de sus actividades afiliadas a estados nacionales, **GREYVIBE** también comparte vínculos con el ecosistema más amplio del cibercrimen ruso, y se cree que algunos miembros son actores criminales cibernéticos actuales o anteriores. Operaciones Asistidas por IA La evidencia sugiere que **GREYVIBE** está aprovechando la inteligencia artificial generativa (GenAI) y los modelos de lenguaje grandes (LLMs) para mejorar sus operaciones. **WithSecure** describe al grupo como "de sofisticación baja a moderada", pero señala que las herramientas asistidas por IA aumentan sus esfuerzos de desarrollo de malware. Cadenas de Ataque en Uso **GREYVIBE** emplea varias cadenas de ataque, que incluyen: * **PhantomMail**: Correos electrónicos de spear-phishing que entregan archivos ZIP o RAR maliciosos alojados en Google Drive y 4sync, que contienen cargadores basados en JavaScript y un documento señuelo, junto con PhantomRelay, un troyano de acceso remoto (RAT) basado en PowerShell. * **PhantomClick**: Explota páginas falsas de CAPTCHA al estilo ClickFix en dominios falsos que se hacen pasar por Zoom y LAPAS para engañar a los usuarios y que ejecuten comandos que inician una cadena de infección de PhantomRelay. * **PrincessClub**: Utiliza sitios web falsos de clubes de adultos ucranianos para entregar FallSpy en Android y PhantomRelayV1 o LegionRelay en Windows. Las iteraciones posteriores incluyen una función de llamada en vivo basada en WebRTC para capturar audio y video. FallSpy es un spyware de Android, mientras que LegionRelay es un RAT ligero basado en PowerShell. * **DroneLink**: Utiliza sitios web que se hacen pasar por fundaciones benéficas que apoyan a las Fuerzas Armadas de Ucrania para entregar WireGuard y LegionRelay. * **Nebo**: Emplea una muestra de FallSpy que imita una pantalla de inicio de sesión en ruso, probablemente dirigida a personal militar ucraniano. El Rol de la IA en el Desarrollo de Malware Los diversos vectores de entrega y herramientas probablemente resultan del uso de plataformas de IA como Ideogram AI, OpenAI ChatGPT y Google Gemini para generar imágenes y desarrollar LegionRelay, así como scripts de ofuscación y cargadores, infraestructura de backend y comandos post-compromiso. Según **WithSecure**, el uso de IA ofrece varias ventajas: * Cerrar brechas en la experiencia técnica * Acelerar el ciclo de vida del desarrollo * Reducir la dependencia de malware o herramientas previamente conocidas  Desafíos en la Atribución "Si un actor puede generar, refactorizar o reemplazar frecuentemente los componentes de su huella operativa con ayuda de IA, los métodos de agrupación tradicionales basados en artefactos técnicos estables pueden volverse menos confiables con el tiempo", declaró Nejad. Sin embargo, el uso de IA también ha introducido fallas de diseño en LegionRelay, exponiendo su funcionalidad de backend, lo que sugiere que **GREYVIBE** podría no ser un actor puramente patrocinado por el estado. Conexiones con el Cibercrimen Los vínculos del grupo con el ecosistema del cibercrimen se basan en factores como: * Posible acceso a un constructor de ISO con sospechas de vínculos con la banda **TrickBot** y UAC-0098. * Variantes de PhantomRelay que aparecen en clústeres de actividad de cibercrimen aparentemente no relacionados, incluyendo una campaña de phishing de voz en **Microsoft** Teams y una cadena de entrega de KongTuke que utiliza ClickFix. * Carga de muestras de desarrollo tempranas a VirusTotal. * Uso de jerga de internet en las convenciones de nomenclatura. * Despliegue del minero XMRig en máquinas infectadas. **WithSecure** evalúa con confianza moderada que el grupo tiene vínculos con el ecosistema más amplio del cibercrimen y con confianza baja a moderada que involucra a miembros criminales cibernéticos actuales o anteriores. La naturaleza exacta de su relación con el estado ruso sigue sin estar clara. "El grupo ocupa un área gris entre el cibercrimen y la actividad afiliada a estados, lo que complica los esfuerzos de atribución y desdibuja las distinciones tradicionales entre estas categorías."