**GREYVIBE**：サイバー諜報の新たなプレイヤー **WithSecure**の報告によると、**GREYVIBE**はロシアの時間帯で活動するロシア語話者グループと評価されています。彼らの活動はクレムリンの国家利益と一致しており、特に進行中の露ウクライナ戦争に関連する情報収集に焦点を当てています。 「このグループは、標的型メール攻撃、偽のキャプチャページ、詐欺的なウクライナの成人向けクラブウェブサイトなど、複数の攻撃ベクトルを活用して、多様な被害者にマルウェアを配信しています」と、**WithSecure**の研究者であるMohammad Kazem Hassan Nejad氏は述べています。同氏は、グループがカスタム開発された難読化ツール、ローダー、マルウェアに依存していると付け加えています。 被害者は、軍事、政府、民間、ビジネス関連の組織にまで及びます。国家支援型活動にもかかわらず、**GREYVIBE**はより広範なロシアのサイバー犯罪エコシステムともつながりを持っており、一部のメンバーは現在のサイバー犯罪者または元サイバー犯罪者であると考えられています。 AI支援型オペレーション 証拠によると、**GREYVIBE**は生成AI（GenAI）と大規模言語モデル（LLM）を活用してオペレーションを強化しています。**WithSecure**は、このグループを「中程度以下の洗練度」と評価していますが、AI支援型ツールがマルウェア開発の取り組みを強化していると指摘しています。 使用されている攻撃チェーン **GREYVIBE**はいくつかの攻撃チェーンを使用しています。これには以下が含まれます。 * **PhantomMail**: Google Driveおよび4syncでホストされている悪意のあるZIPまたはRARアーカイブを配信する標的型メール攻撃。これには、JavaScriptベースのローダーとデコイ文書、およびPowerShellベースのリモートアクセス型トロイの木馬（RAT）であるPhantomRelayが含まれています。 * **PhantomClick**: ZoomやLAPASを装った偽ドメイン上のClickFixスタイルの偽キャプチャページを悪用し、ユーザーを騙してPhantomRelay感染チェーンを開始するコマンドを実行させます。 * **PrincessClub**: ウクライナの成人向けクラブを装った偽のウェブサイトを使用して、AndroidにFallSpy、WindowsにPhantomRelayV1またはLegionRelayを配信します。後期のバージョンには、オーディオとビデオをキャプチャするためのWebRTCベースのライブ通話機能が含まれています。FallSpyはAndroidスパイウェアであり、LegionRelayは軽量なPowerShellベースのRATです。 * **DroneLink**: ウクライナ軍を支援する慈善団体を装ったウェブサイトを使用して、WireGuardとLegionRelayを配信します。 * **Nebo**: ロシア語のログイン画面を模倣したFallSpyサンプルを使用し、おそらくウクライナ軍人を標的にしています。 マルウェア開発におけるAIの役割 多様な配信ベクトルとツールは、Ideogram AI、OpenAI ChatGPT、Google GeminiなどのAIプラットフォームを使用して画像生成やLegionRelayの開発、さらには難読化およびローダースクリプト、バックエンドインフラストラクチャ、侵害後のコマンドの生成を行った結果である可能性が高いです。 **WithSecure**によると、AIの使用はいくつかの利点をもたらします。 * 技術的専門知識のギャップを埋める * 開発ライフサイクルの加速 * 以前に知られていたマルウェアまたはツールへの依存度の低減  属性特定における課題 「攻撃者がAIの支援を受けて運用フットプリントのコンポーネントを頻繁に生成、リファクタリング、または置き換えることができる場合、安定した技術的アーティファクトに基づいた従来のクラスタリング手法は、時間の経過とともに信頼性が低下する可能性があります」とNejad氏は述べています。 しかし、AIの使用はLegionRelayに設計上の欠陥をもたらし、そのバックエンド機能を露呈させており、**GREYVIBE**が純粋に国家支援型攻撃者ではない可能性を示唆しています。 サイバー犯罪とのつながり このグループとサイバー犯罪エコシステムとのつながりは、以下の要因に基づいています。 * **TrickBot**ギャングおよびUAC-0098と疑わしい関連を持つISOビルダーへのアクセス可能性。 * PhantomRelayのバリアントが、無関係に見えるサイバー犯罪活動クラスター、**Microsoft** TeamsのボイスフィッシングキャンペーンやClickFixを使用したKongTuke配信チェーンを含む中で出現。 * VirusTotalへの初期開発サンプルのアップロード。 * 命名規則でのインターネットスラング用語の使用。 * 感染したマシンへのXMRigマイナーの展開。 **WithSecure**は、このグループがより広範なサイバー犯罪エコシステムとつながりを持っていると中程度の確信度で評価しており、現在のまたは元サイバー犯罪者が関与していると低～中程度の確信度で評価しています。ロシア国家との正確な関係性は不明なままです。 「このグループはサイバー犯罪と国家支援型活動の間のグレーゾーンに位置しており、属性特定努力を複雑にし、これらのカテゴリ間の従来の区別を曖昧にしています。」