O **GreyVibe** está ativo desde pelo menos agosto de 2023, utilizando um conjunto diversificado de ferramentas de malware customizadas e táticas sofisticadas de engenharia social. Embora pesquisadores da **WithSecure** não possam classificar definitivamente o grupo como uma operação de estado-nação, a atividade se alinha com os interesses estatais russos. **Visão Geral da Campanha** A **WithSecure** descobriu a atividade em janeiro de 2024, revelando um foco em organizações ucranianas. Indicadores como o idioma do painel de malware, comentários de código e o servidor de comando e controle (C2) configurado para UTC+3 (horário de Moscou) apoiam a ligação com um ator de ameaça de língua russa. O GreyVibe emprega várias cadeias de ataque, incluindo: * **PhantomMail**: E-mails de spear-phishing entregando arquivos ZIP/RAR maliciosos via links do **Google Drive** e 4sync. Esses e-mails usam PDFs falsos ou erros falsos enquanto implantam malware, se passando por entidades do governo ucraniano, de emergência, de telecomunicações e de energia. * **PhantomClick**: Páginas falsas de CAPTCHA/ClickFix disfarçadas de sites do **Zoom** e LAPAS enganam as vítimas para executar comandos de auto-infecção através de falsas prompts de verificação do **Cloudflare**. * **PrincessClub**: Sites falsos ucranianos de conteúdo adulto/namoro entregando o spyware Android **FallSpy** e o malware Windows **PhantomRelay**/**LegionRelay**. Os operadores usam personas falsas femininas no **Telegram** e chamadas ao vivo baseadas em WebRTC para capturar áudio/vídeo da vítima. * **DroneLink**: Sites falsos de caridade militar ucraniana com tema de drones FPV e UAVs, compartilhando infraestrutura e ferramentas com campanhas do PrincessClub. * **Nebo**: Páginas falsas de login de comunicações militares russas "СПО НЕБО", provavelmente projetadas para enganar o pessoal militar ucraniano, fazendo-os acreditar que estavam acessando um terminal militar russo. **Iscas e Desenvolvimento de Ferramentas Impulsionados por IA** A qualidade e a diversidade dessas iscas são atribuídas ao uso de ferramentas de IA, incluindo **ChatGPT**, **Ideogram AI** e **Google Gemini**, para gerar conteúdo detalhado e realista. <div> <figure><img width="800" src="https://www.bleepstatic.com/images/news/u/1100723/GreyVibe_LLM.webp" height="493" alt="Marcadores de LLM em imagens usadas pelo GreyVibe"><figcaption><strong>Marcadores de LLM em imagens usadas pelo GreyVibe</strong><br><em>fonte: WithSecure</em></figcaption></figure> </div> A IA também auxilia na criação de ferramentas como **LOOKVALPS**, **LOOKVALJS**, **DAYLIGHT** e **TEASOUP**, todos ofuscadores customizados provavelmente desenvolvidos com assistência de LLM. Um trojan de acesso remoto baseado em PowerShell chamado **LegionRelay** também foi provavelmente desenvolvido com ferramentas de IA, de acordo com pesquisadores. O LegionRelay suporta roubo de arquivos, captura de tela, roubo de credenciais de navegador, exfiltração de dados do **Telegram** e **WhatsApp**, e configuração de acesso RDP. Outro malware usado pelo GreyVibe é o **PhantomRelay**, também um RAT PowerShell. O malware suporta fingerprinting do sistema, carregamento dinâmico de scripts e execução de comandos PowerShell e Windows. <div> <figure><img width="900" src="https://www.bleepstatic.com/images/news/u/1220909/2026/May/overview(1).jpg" height="231" alt="Visão geral de associações de malware e campanha"><figcaption><strong>Visão geral de associações de malware e campanha</strong><br><em>Fonte: WithSecure</em></figcaption></figure> </div> O spyware Android **FallSpy**, usado nas campanhas PrincessClub e Nebo, é projetado para coleta de inteligência. Ele coleta listas de contatos, registros de chamadas, informações do dispositivo e rede, dados de localização, arquivos de mídia e informações de SIM. **Vínculos com o Cibercrime e Incertezas** A **WithSecure** observa que, embora a atividade do GreyVibe se assemelhe a uma operação de estado-nação, o ator de ameaça carece da sofisticação e disciplina operacional tipicamente associadas a grupos maduros patrocinados pelo estado. O uso do **PhantomRelay** em atividades de cibercrime complica ainda mais o quadro. Amostras iniciais e de teste usaram um construtor de ISO exclusivo associado a um grupo de ex-membros do **TrickBot** (UAC-0098) que visou a Ucrânia no início da invasão russa. Além disso, o ator de ameaça fez upload de amostras de desenvolvimento e teste em plataformas de escaneamento públicas, um comportamento atípico para atores de estado-nação. Um minerador de criptomoedas também foi implantado em algumas máquinas de vítimas. Os pesquisadores permanecem incertos se ex-membros ou membros atuais do cibercrime foram absorvidos por um grupo apoiado pelo estado, operam independentemente com tarefas direcionadas pelo estado, ou formaram uma equipe híbrida. As organizações podem se defender contra a atividade maliciosa do GreyVibe usando os [indicadores de comprometimento](http://github.com/WithSecureLabs/iocs/blob/master/GREYVIBE/greyvibe_iocs.csv) (IoCs) fornecidos pela **WithSecure**. <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img src="https://www.bleepstatic.com/c/p/validation-gap.jpg" data-src="https://www.bleepstatic.com/c/p/validation-gap.jpg" alt="imagem do artigo"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">A Lacuna de Validação: Testes de Penetração Automatizados Respondem a Uma Pergunta. Você Precisa de Seis.</a></h2> <p>Ferramentas de teste de penetração automatizadas entregam valor real, mas foram construídas para responder a uma pergunta: um invasor pode se mover pela rede? Elas não foram construídas para testar se seus controles bloqueiam ameaças, se suas regras de detecção disparam ou se suas configurações de nuvem se sustentam.</p> <p>Este guia cobre as 6 superfícies que você realmente precisa validar.</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">Baixe Agora</a></p> </div> </div>