**GreyVibe** ha estado activo desde al menos agosto de 2023, utilizando un conjunto diverso de herramientas de malware personalizadas y tácticas sofisticadas de ingeniería social. Si bien los investigadores de **WithSecure** no pueden clasificar definitivamente al grupo como una operación de un estado-nación, la actividad se alinea con los intereses estatales rusos. **Resumen de la Campaña** **WithSecure** descubrió la actividad en enero de 2024, revelando un enfoque en organizaciones ucranianas. Indicadores como el idioma del panel de malware, los comentarios del código y la hora del servidor de comando y control (C2) configurada en UTC+3 (hora de Moscú) respaldan el vínculo con un actor de amenazas de habla rusa. GreyVibe emplea varias cadenas de ataque, que incluyen: * **PhantomMail**: Correos electrónicos de spear-phishing que entregan archivos ZIP/RAR maliciosos a través de enlaces de **Google Drive** y 4sync. Estos correos electrónicos utilizan PDFs señuelo o errores falsos mientras despliegan malware, suplantando a entidades gubernamentales, de emergencia, de telecomunicaciones y energéticas ucranianas. * **PhantomClick**: Páginas falsas de CAPTCHA/ClickFix disfrazadas como sitios de **Zoom** y LAPAS engañan a las víctimas para que ejecuten comandos de auto-infección a través de falsas indicaciones de verificación de **Cloudflare**. * **PrincessClub**: Sitios web falsos ucranianos para adultos/citas que entregan el spyware Android **FallSpy** y el malware de Windows **PhantomRelay**/**LegionRelay**. Los operadores utilizan falsos perfiles femeninos de **Telegram** y llamadas en vivo basadas en WebRTC para capturar audio/video de la víctima. * **DroneLink**: Sitios web falsos de caridad militar ucraniana con temática de drones FPV y UAV, compartiendo infraestructura y herramientas con las campañas de PrincessClub. * **Nebo**: Páginas de inicio de sesión falsas de comunicaciones militares rusas “СПО НЕБО”, probablemente diseñadas para engañar al personal militar ucraniano haciéndoles creer que estaban accediendo a una terminal militar rusa. **Señuelos y Desarrollo de Herramientas Potenciados por IA** La calidad y diversidad de estos señuelos se atribuyen al uso de herramientas de IA, incluyendo **ChatGPT**, **Ideogram AI** y **Google Gemini**, para generar contenido detallado y realista. <div> <figure><img width="800" src="https://www.bleepstatic.com/images/news/u/1100723/GreyVibe_LLM.webp" height="493" alt="Marcadores de LLM en imágenes usadas por GreyVibe"><figcaption><strong>Marcadores de LLM en imágenes usadas por GreyVibe</strong><br><em>fuente: WithSecure</em></figcaption></figure> </div> La IA también ayuda en la creación de herramientas como **LOOKVALPS**, **LOOKVALJS**, **DAYLIGHT** y **TEASOUP**, todos ofuscadores personalizados probablemente desarrollados con asistencia de LLM. Un troyano de acceso remoto basado en PowerShell llamado **LegionRelay** también fue probablemente desarrollado con herramientas de IA, según los investigadores. LegionRelay admite robo de archivos, captura de capturas de pantalla, robo de credenciales del navegador, exfiltración de datos de **Telegram** y **WhatsApp**, y configuración de acceso RDP. Otro malware utilizado por GreyVibe es **PhantomRelay**, también un RAT de PowerShell. El malware admite huellas digitales del sistema, carga dinámica de scripts y ejecución de comandos de PowerShell y Windows. <div> <figure><img width="900" src="https://www.bleepstatic.com/images/news/u/1220909/2026/May/overview(1).jpg" height="231" alt="Resumen de asociaciones de malware y campañas"><figcaption><strong>Resumen de asociaciones de malware y campañas</strong><br><em>Fuente: WithSecure</em></figcaption></figure> </div> El spyware Android **FallSpy**, utilizado en las campañas PrincessClub y Nebo, está diseñado para la recopilación de inteligencia. Recopila listas de contactos, registros de llamadas, información del dispositivo y red, datos de ubicación, archivos multimedia e información de la SIM. **Vínculos con el Cibercrimen e Incertidumbres** **WithSecure** señala que, si bien la actividad de GreyVibe se asemeja a una operación de un estado-nación, el actor de amenazas carece de la sofisticación y la disciplina operativa típicamente asociadas con grupos maduros patrocinados por el estado. El uso de **PhantomRelay** en actividades de cibercrimen complica aún más el panorama. Las muestras tempranas y de prueba utilizaron un constructor de ISO único asociado con un grupo de ex miembros de **TrickBot** (UAC-0098) que apuntó a Ucrania al comienzo de la invasión rusa. Además, el actor de amenazas subió muestras de desarrollo y prueba a plataformas de escaneo públicas, un comportamiento atípico para actores de estado-nación. Un minero de criptomonedas también fue desplegado en algunas máquinas de víctimas. Los investigadores no están seguros de si ex miembros o miembros actuales del cibercrimen han sido absorbidos por un grupo respaldado por el estado, operan de forma independiente con tareas dirigidas por el estado, o han formado un equipo híbrido. Las organizaciones pueden defenderse de la actividad maliciosa de GreyVibe utilizando los [indicadores de compromiso](http://github.com/WithSecureLabs/iocs/blob/master/GREYVIBE/greyvibe_iocs.csv) (IoCs) proporcionados por **WithSecure**. <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img src="https://www.bleepstatic.com/c/p/validation-gap.jpg" data-src="https://www.bleepstatic.com/c/p/validation-gap.jpg" alt="imagen del artículo"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">La Brecha de Validación: Las Pruebas de Penetración Automatizadas Responden Una Pregunta. Necesitas Seis.</a></h2> <p>Las herramientas de pruebas de penetración automatizadas brindan valor real, pero fueron creadas para responder una pregunta: ¿puede un atacante moverse por la red? No fueron diseñadas para probar si sus controles bloquean amenazas, si sus reglas de detección se activan o si sus configuraciones en la nube son seguras.</p> <p>Esta guía cubre las 6 superficies que realmente necesitas validar.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">Descargar Ahora</a></p> </div> </div>