**GreyVibe** est actif depuis au moins août 2023, utilisant un ensemble diversifié d'outils malveillants personnalisés et des tactiques d'ingénierie sociale sophistiquées. Bien que les chercheurs de **WithSecure** ne puissent pas classer définitivement le groupe comme une opération d'État-nation, l'activité correspond aux intérêts de l'État russe. **Aperçu des campagnes** **WithSecure** a découvert l'activité en janvier 2024, révélant un accent sur les organisations ukrainiennes. Des indicateurs tels que la langue du panneau de contrôle du malware, les commentaires de code et l'heure du serveur de commande et de contrôle (C2) configurée sur UTC+3 (heure de Moscou) soutiennent le lien avec un acteur de menace russophone. GreyVibe emploie plusieurs chaînes d'attaque, notamment : * **PhantomMail** : Emails de spear-phishing délivrant des archives ZIP/RAR malveillantes via des liens **Google Drive** et 4sync. Ces emails utilisent des PDF leurres ou de fausses erreurs tout en déployant des malwares, usurpant l'identité d'entités gouvernementales, d'urgence, de télécommunications et d'énergie ukrainiennes. * **PhantomClick** : Fausses pages CAPTCHA/ClickFix déguisées en sites **Zoom** et LAPAS incitent les victimes à exécuter des commandes auto-infectieuses via de fausses invites de vérification **Cloudflare**. * **PrincessClub** : De faux sites ukrainiens pour adultes/rencontres délivrant le spyware Android **FallSpy** et les malwares Windows **PhantomRelay**/**LegionRelay**. Les opérateurs utilisent de fausses personas féminines sur **Telegram** et des appels en direct basés sur WebRTC pour capturer l'audio/vidéo de la victime. * **DroneLink** : De faux sites de charité militaire ukrainiens sur le thème des drones FPV et des UAV, partageant l'infrastructure et les outils avec les campagnes PrincessClub. * **Nebo** : De fausses pages de connexion pour les communications militaires russes « СПО НЕБО », probablement conçues pour inciter le personnel militaire ukrainien à croire qu'il accédait à un terminal militaire russe. **Leurres et développement d'outils basés sur l'IA** La qualité et la diversité de ces leurres sont attribuées à l'utilisation d'outils d'IA, notamment **ChatGPT**, **Ideogram AI** et **Google Gemini**, pour générer un contenu détaillé et réaliste. <div> <figure><img width="800" src="https://www.bleepstatic.com/images/news/u/1100723/GreyVibe_LLM.webp" height="493" alt="Marqueurs LLM dans les images utilisées par GreyVibe"><figcaption><strong>Marqueurs LLM dans les images utilisées par GreyVibe</strong><br><em>source : WithSecure</em></figcaption></figure> </div> L'IA aide également à la création d'outils tels que **LOOKVALPS**, **LOOKVALJS**, **DAYLIGHT** et **TEASOUP**, tous des obfuscateurs personnalisés probablement développés avec l'aide de LLM. Un cheval de Troie d'accès à distance basé sur PowerShell nommé **LegionRelay** a également été probablement développé avec des outils d'IA, selon les chercheurs. LegionRelay prend en charge le vol de fichiers, la capture d'écran, le vol d'identifiants de navigateur, l'exfiltration de données **Telegram** et **WhatsApp**, et la configuration d'accès RDP. Un autre malware utilisé par GreyVibe est **PhantomRelay**, également un RAT PowerShell. Le malware prend en charge l'empreinte système, le chargement dynamique de scripts et l'exécution de commandes PowerShell et Windows. <div> <figure><img width="900" src="https://www.bleepstatic.com/images/news/u/1220909/2026/May/overview(1).jpg" height="231" alt="Aperçu des associations de malwares et de campagnes"><figcaption><strong>Aperçu des associations de malwares et de campagnes</strong><br><em>Source : WithSecure</em></figcaption></figure> </div> Le spyware Android **FallSpy**, utilisé dans les campagnes PrincessClub et Nebo, est conçu pour la collecte de renseignements. Il collecte les listes de contacts, les journaux d'appels, les informations sur l'appareil et le réseau, les données de localisation, les fichiers multimédias et les informations SIM. **Liens avec la cybercriminalité et incertitudes** **WithSecure** note que si l'activité de GreyVibe ressemble à une opération d'État-nation, l'acteur de menace manque de la sophistication et de la discipline opérationnelle généralement associées aux groupes matures parrainés par l'État. L'utilisation de **PhantomRelay** dans des activités de cybercriminalité complique davantage le tableau. Les premiers échantillons et les échantillons de test utilisaient un constructeur ISO unique associé à un groupe d'anciens membres de **TrickBot** (UAC-0098) qui avait ciblé l'Ukraine au début de l'invasion russe. De plus, l'acteur de menace a téléchargé des échantillons de développement et de test sur des plateformes de scan publiques, un comportement atypique pour les acteurs d'État-nation. Un mineur de cryptomonnaie a également été déployé sur certaines machines victimes. Les chercheurs ne savent pas si d'anciens ou actuels membres de la cybercriminalité ont été absorbés dans un groupe soutenu par l'État, opèrent indépendamment avec des tâches dirigées par l'État, ou ont formé une équipe hybride. Les organisations peuvent se défendre contre l'activité malveillante de GreyVibe en utilisant les [indicateurs de compromission](http://github.com/WithSecureLabs/iocs/blob/master/GREYVIBE/greyvibe_iocs.csv) (IoCs) fournis par **WithSecure**. <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img src="https://www.bleepstatic.com/c/p/validation-gap.jpg" data-src="https://www.bleepstatic.com/c/p/validation-gap.jpg" alt="image de l'article"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">The Validation Gap: Automated Pentesting Answers One Question. You Need Six.</a></h2> <p>Les outils de pentesting automatisés apportent une réelle valeur, mais ils ont été conçus pour répondre à une seule question : un attaquant peut-il se déplacer sur le réseau ? Ils n'ont pas été conçus pour tester si vos contrôles bloquent les menaces, si vos règles de détection se déclenchent, ou si vos configurations cloud tiennent bon.</p> <p>Ce guide couvre les 6 surfaces que vous devez réellement valider.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">Télécharger maintenant</a></p> </div> </div>