28.05.2026
1 хв
103
Дослідники виявили нове хакерське угруповання GreyVibe, пов’язане з російськомовними операторами, яке активно використовує ChatGPT, Gemini та інші генеративні AI-сервіси для проведення кібератак. Основними цілями групи стали українські військові, державні установи, цивільні організації та бізнес.
Хакерська група GreyVibe використовує приманки, створені за допомогою штучного інтелекту, а також власний набір інструментів для проведення шпигунських операцій проти організацій у військовому, державному, цивільному та комерційному секторах.
Кампанія триває щонайменше з серпня 2025 року. На думку дослідників, її цілі відповідають інтересам росії, хоча наразі немає достатньо доказів, щоб однозначно класифікувати її як державну операцію.
Основними цілями стали українські організації та структури, пов’язані з Україною. На російськомовне походження операторів вказують мова інтерфейсів шкідливого ПЗ, коментарі у вихідному коді та сервери керування, налаштовані на часовий пояс UTC+3.
Дослідники виявили кілька окремих ланцюжків атак, які використовувалися в межах кампанії.
PhantomMail базувався на фішингових листах із шкідливими ZIP- та RAR-архівами, які поширювалися через Google Drive та 4sync. Файли маскувалися під PDF-документи або повідомлення про помилки. Приманки видавали себе за документи українських державних установ, служб екстреної допомоги, телекомунікаційних компаній та підприємств енергетичного сектору.
PhantomClick складався з підроблених сторінок CAPTCHA та ClickFix, замаскованих під сайти Zoom і LAPAS. Жертв обманом змушували запускати команди, які самостійно інфікували систему, використовуючи фальшиві перевірки Cloudflare.
PrincessClub включав мережу підроблених українських сайтів знайомств та ресурсів для дорослих, через які поширювалися Android-шпигун FallSpy і шкідливі програми PhantomRelay та LegionRelay для Windows. Оператори видавали себе за жінок у Telegram, а згодом почали використовувати дзвінки через WebRTC, що дозволяли записувати аудіо та відео жертв.
DroneLink використовував фейкові українські благодійні сайти, присвячені FPV-дронам і БПЛА. Ці ресурси мали спільну інфраструктуру та інструменти з кампаніями PrincessClub.
Nebo складався з підроблених сторінок входу, які імітували російську військову систему зв’язку «СПО НЕБО». Ймовірно, їх створили для того, щоб переконати українських військових, що вони отримують доступ до справжніх російських військових ресурсів.
Дослідники відзначають високу якість і різноманітність приманок. Для створення реалістичного текстового та графічного контенту оператори, ймовірно, використовували ChatGPT, Google Gemini та Ideogram AI.
Штучний інтелект також, імовірно, використовувався під час створення власних інструментів обфускації, серед яких LOOKVALPS, LOOKVALJS, DAYLIGHT і TEASOUP. Вони були призначені для приховування шкідливої активності та ускладнення аналізу шкідливого коду.
Одним із головних інструментів групи є LegionRelay – троян віддаленого доступу на базі PowerShell, який, за оцінками дослідників, міг бути розроблений за допомогою великих мовних моделей. Він підтримує викрадення файлів, створення скріншотів, збір облікових даних браузерів, крадіжку даних Telegram і WhatsApp, а також налаштування RDP-доступу.
Ще один PowerShell-троян, PhantomRelay, дозволяє збирати інформацію про систему, динамічно завантажувати додаткові скрипти та виконувати команди PowerShell і Windows.
Для Android-пристроїв група використовувала шпигунське ПЗ FallSpy, яке застосовувалося в кампаніях PrincessClub і Nebo. Воно спеціалізується на зборі розвідувальної інформації та може отримувати списки контактів, журнали дзвінків, дані про пристрій, мережеву інформацію, геолокацію, мультимедійні файли та відомості про SIM-картку.
Попри низку ознак, характерних для державних операцій, дослідники зазначають, що GreyVibe не демонструє рівня технічної складності та оперативної дисципліни, які зазвичай притаманні зрілим державним кіберугрупованням.
Слідчі також виявили докази того, що PhantomRelay раніше використовувався у звичайних кіберзлочинних операціях. Це може свідчити про те, що до діяльності GreyVibe причетні нинішні або колишні кіберзлочинці.
На користь цієї версії говорить використання унікального інструмента для створення ISO-образів, який раніше пов’язували з колишніми учасниками угруповання UAC-0098, що має зв’язок із TrickBot. Ця група здійснювала атаки проти України на початковому етапі повномасштабного російського вторгнення.
Додатковими ознаками стали завантаження тестових і розробницьких зразків шкідливого ПЗ на публічні сервіси аналізу файлів. Така практика є нетиповою для державних хакерських угруповань. Крім того, дослідники виявили на деяких скомпрометованих системах майнери криптовалют.
Наразі фахівці не можуть однозначно визначити природу GreyVibe. Залишається відкритим питання, чи складається група з колишніх кіберзлочинців, залучених до державних операцій, чи це незалежне угруповання, яке виконує завдання в інтересах держави, або ж гібридна структура, що поєднує операторів, пов’язаних із державою, та представників кіберзлочинного середовища.
