**GREYVIBE**: Um Novo Jogador na Arena de Ciberespionagem De acordo com um relatório da **WithSecure**, o **GREYVIBE** é avaliado como um grupo de língua russa operando dentro do fuso horário russo. Suas atividades se alinham com os interesses estatais do Kremlin, focando especificamente na coleta de inteligência relacionada à guerra em curso entre Rússia e Ucrânia. "O grupo utilizou múltiplos vetores de ataque, incluindo e-mails de spear-phishing, páginas falsas de captcha e sites fraudulentos de clubes adultos ucranianos, para entregar malware a um conjunto diversificado de vítimas", disse **WithSecure** researcher Mohammad Kazem Hassan Nejad. Ele acrescentou que o grupo depende de ofuscadores, loaders e malware desenvolvidos sob medida. A vitimologia abrange organizações militares, governamentais, civis e empresariais. Apesar de suas atividades afiliadas a estados-nação, o **GREYVIBE** também compartilha laços com o ecossistema mais amplo de cibercrime russo, com alguns membros acreditados como atores de cibercrime atuais ou antigos. Operações Assistidas por IA Evidências sugerem que o **GREYVIBE** está utilizando inteligência artificial generativa (GenAI) e modelos de linguagem grandes (LLMs) para aprimorar suas operações. A **WithSecure** descreve o grupo como "de sofisticação baixa a moderada", mas observa que ferramentas assistidas por IA aumentam seus esforços de desenvolvimento de malware. Cadeias de Ataque em Uso O **GREYVIBE** emprega várias cadeias de ataque, incluindo: * **PhantomMail**: E-mails de spear-phishing entregando arquivos ZIP ou RAR maliciosos hospedados no Google Drive e 4sync, contendo loaders baseados em JavaScript e um documento chamariz, juntamente com PhantomRelay, um trojan de acesso remoto (RAT) baseado em PowerShell. * **PhantomClick**: Explora páginas falsas de CAPTCHA no estilo ClickFix em domínios falsos que se disfarçam de Zoom e LAPAS para enganar os usuários a executar comandos que iniciam uma cadeia de infecção PhantomRelay. * **PrincessClub**: Usa sites falsos de clubes adultos ucranianos para entregar FallSpy no Android e PhantomRelayV1 ou LegionRelay no Windows. Iterações posteriores incluem um recurso de chamada ao vivo baseado em WebRTC para capturar áudio e vídeo. FallSpy é um spyware Android, enquanto LegionRelay é um RAT leve baseado em PowerShell. * **DroneLink**: Usa sites que se disfarçam de fundações de caridade que apoiam as Forças Armadas da Ucrânia para entregar WireGuard e LegionRelay. * **Nebo**: Emprega uma amostra do FallSpy que imita uma tela de login em russo, provavelmente visando pessoal militar ucraniano. O Papel da IA no Desenvolvimento de Malware Os diversos vetores de entrega e ferramentas provavelmente resultam do uso de plataformas de IA como Ideogram AI, OpenAI ChatGPT e Google Gemini para gerar imagens e desenvolver LegionRelay, bem como scripts de ofuscação e loaders, infraestrutura de backend e comandos pós-comprometimento. De acordo com a **WithSecure**, o uso de IA oferece várias vantagens: * Preencher lacunas em expertise técnica * Acelerar o ciclo de vida de desenvolvimento * Reduzir a dependência de malware ou ferramentas previamente conhecidas  Desafios na Atribuição "Se um ator pode gerar, refatorar ou substituir frequentemente componentes de sua pegada operacional com assistência de IA, métodos tradicionais de clusterização baseados em artefatos técnicos estáveis podem se tornar menos confiáveis ao longo do tempo", declarou Nejad. No entanto, o uso de IA também introduziu falhas de design no LegionRelay, expondo sua funcionalidade de backend, sugerindo que o **GREYVIBE** pode não ser um ator puramente patrocinado pelo estado. Conexões com Cibercrime Os laços do grupo com o ecossistema de cibercrime são baseados em fatores como: * Possível acesso a um construtor de ISO com suspeitas de ligações com a gangue **TrickBot** e UAC-0098. * Variantes do PhantomRelay aparecendo em clusters de atividade de cibercrime aparentemente não relacionados, incluindo uma campanha de phishing por voz no **Microsoft** Teams e uma cadeia de entrega do KongTuke usando ClickFix. * Upload de amostras de desenvolvimento inicial para o VirusTotal. * Uso de termos de gíria da internet em convenções de nomenclatura. * Implantação do minerador XMRig em máquinas infectadas. A **WithSecure** avalia com confiança moderada que o grupo tem laços com o ecossistema de cibercrime mais amplo e com confiança baixa a moderada que envolve membros atuais ou antigos do cibercrime. A natureza exata de seu relacionamento com o estado russo permanece incerta. "O grupo ocupa uma área cinzenta entre o cibercrime e a atividade afiliada a estados, complicando os esforços de atribuição e obscurecendo as distinções tradicionais entre essas categorias."