**GREYVIBE** : Un nouvel acteur dans l'arène de l'espionnage informatique Selon un rapport de **WithSecure**, **GREYVIBE** est considéré comme un groupe russophone opérant dans le fuseau horaire russe. Leurs activités s'alignent sur les intérêts de l'État du Kremlin, se concentrant spécifiquement sur la collecte de renseignements liés à la guerre russo-ukrainienne en cours. « Le groupe a exploité plusieurs vecteurs d'attaque, notamment des e-mails de spear-phishing, de fausses pages de captcha et des sites Web frauduleux de clubs pour adultes ukrainiens, pour livrer des malwares à un ensemble diversifié de victimes », a déclaré **WithSecure** chercheur Mohammad Kazem Hassan Nejad. Il a ajouté que le groupe s'appuie sur des obfuscateurs, des chargeurs et des malwares développés sur mesure. La victimologie couvre les organisations militaires, gouvernementales, civiles et commerciales. Malgré ses activités liées à un État-nation, **GREYVIBE** partage également des liens avec l'écosystème plus large de la cybercriminalité russe, certains membres étant considérés comme des acteurs cybercriminels actuels ou anciens. Opérations assistées par l'IA Des preuves suggèrent que **GREYVIBE** utilise l'intelligence artificielle générative (GenAI) et les grands modèles linguistiques (LLM) pour améliorer ses opérations. **WithSecure** décrit le groupe comme « peu à moyennement sophistiqué », mais note que les outils assistés par l'IA augmentent leurs efforts de développement de malwares. Chaînes d'attaque utilisées **GREYVIBE** emploie plusieurs chaînes d'attaque, notamment : * **PhantomMail** : E-mails de spear-phishing livrant des archives ZIP ou RAR malveillantes hébergées sur Google Drive et 4sync, contenant des chargeurs basés sur JavaScript et un document leurre, ainsi que PhantomRelay, un cheval de Troie d'accès à distance (RAT) basé sur PowerShell. * **PhantomClick** : Exploite de fausses pages CAPTCHA de style ClickFix sur des domaines bidons se faisant passer pour Zoom et LAPAS pour inciter les utilisateurs à exécuter des commandes qui initient une chaîne d'infection PhantomRelay. * **PrincessClub** : Utilise de faux sites Web de clubs pour adultes ukrainiens pour livrer FallSpy sur Android et PhantomRelayV1 ou LegionRelay sur Windows. Les itérations ultérieures incluent une fonctionnalité d'appel en direct basée sur WebRTC pour capturer l'audio et la vidéo. FallSpy est un spyware Android, tandis que LegionRelay est un RAT léger basé sur PowerShell. * **DroneLink** : Utilise des sites Web se faisant passer pour des fondations caritatives soutenant les forces armées ukrainiennes pour livrer WireGuard et LegionRelay. * **Nebo** : Emploie un échantillon de FallSpy imitant un écran de connexion en langue russe, ciblant probablement le personnel militaire ukrainien. Rôle de l'IA dans le développement de malwares Les divers vecteurs de livraison et outils résultent probablement de l'utilisation de plateformes d'IA comme Ideogram AI, OpenAI ChatGPT et Google Gemini pour générer des images et développer LegionRelay, ainsi que des scripts d'obfuscation et de chargeur, l'infrastructure backend et les commandes post-compromission. Selon **WithSecure**, l'utilisation de l'IA offre plusieurs avantages : * Combler les lacunes en matière d'expertise technique * Accélérer le cycle de vie du développement * Réduire la dépendance à l'égard de malwares ou d'outils précédemment connus  Défis d'attribution « Si un acteur peut générer, refactoriser ou remplacer fréquemment des composants de son empreinte opérationnelle avec l'aide de l'IA, les méthodes de clustering traditionnelles basées sur des artefacts techniques stables peuvent devenir moins fiables avec le temps », a déclaré Nejad. Cependant, l'utilisation de l'IA a également introduit des défauts de conception dans LegionRelay, exposant sa fonctionnalité backend, suggérant que **GREYVIBE** n'est peut-être pas un acteur purement parrainé par l'État. Liens avec la cybercriminalité Les liens du groupe avec l'écosystème de la cybercriminalité sont basés sur des facteurs tels que : * Accès possible à un constructeur ISO suspecté d'être lié au gang **TrickBot** et à UAC-0098. * Des variantes de PhantomRelay apparaissant dans des clusters d'activités cybercriminelles apparemment sans rapport, y compris une campagne de spear-phishing par voix sur **Microsoft** Teams et une chaîne de livraison KongTuke utilisant ClickFix. * Téléchargement d'échantillons de développement précoces sur VirusTotal. * Utilisation de termes d'argot Internet dans les conventions de nommage. * Déploiement du mineur XMRig sur les machines infectées. **WithSecure** estime avec une confiance modérée que le groupe a des liens avec l'écosystème de la cybercriminalité au sens large et avec une confiance faible à modérée qu'il implique des membres actuels ou anciens de la cybercriminalité. La nature exacte de leur relation avec l'État russe reste floue. « Le groupe occupe une zone grise entre la cybercriminalité et les activités affiliées à l'État, compliquant les efforts d'attribution et brouillant les distinctions traditionnelles entre ces catégories. »