Auf den Punkt: Die Hacker-Gruppe Greyvibe nutzt generative KI systematisch für alle Phasen ihrer Cyberangriffe gegen Ukraine-Ziele. Die Gruppe entwickelte mehrere Malware-Programme (PhantomRelay, LegionRelay, FallSpy) mit LLM-Unterstützung und setzt verschiedenste Social-Engineering-Taktiken ein. Security-Analysten ordnen das Kollektiv dem russischen Cyberkriminalitätsspektrum zu.
Sicherheitsforscher haben eine zuvor unbekannte russische Gruppe dokumentiert, die großflächig generative Künstliche Intelligenz bei Cyberangriffen gegen private, staatliche und militärische Ziele in der Ukraine einsetzt. Die von WithSecure als Greyvibe bezeichnete Gruppe demonstriert systematische KI-Nutzung über alle Phasen ihrer Operationen – von Spear-Phishing bis zur Malware-Entwicklung – und wird dem russischen Cyberkriminalitätsspektrum zugeordnet.
Greyvibe setzt großflächig Large Language Models (LLMs) zur Unterstützung seiner Operationen ein. Die Gruppe nutzt verschiedenste Angriffsvektoren und eigene Malware mit dem Ziel der Informationsbeschaffung für den andauernden Krieg in der Ukraine. Nach Aussage der WithSecure-Analysten zeigen mehrere Indikatoren, dass die Gruppe Verbindungen zum breiteren Cyberkriminalitätsökosystem aufweist und möglicherweise aktuelle oder ehemalige Cyberkriminelle einbezieht.
Greyvibe startete seine erste dokumentierte Kampagne im August 2025 mit Spear-Phishing-E-Mails, die vorgaben, von ukrainischen Behörden zu stammen. Die Nachrichten enthielten Links zu ZIP- und RAR-Archiven auf Google Drive und dem Service 4sync mit Python- und JavaScript-basierten Malware-Ladern. Die finale Payload war die selbstentwickelte Malware PhantomRelay.
Im Oktober führte die Gruppe sogenannte ClickFix-ähnliche Angriffe gegen gefälschte CloudFlare-CAPTCHA-Seiten durch. Zusätzlich betrieb Greyvibe gefälschte Websites für Erwachsenenclubs sowie Seiten mit fadenscheinigen Hilfsangeboten für die ukrainische Militär-Drohnenlogistik. Diese verteilten mehrere Schadprogramme: FallSpy für Android-Geräte sowie PhantomRelay und LegionRelay für Windows-Systeme.
PhantomRelay ist ein PowerShell-basierter Remote-Access-Trojan, der zusätzliche Scripts vom Command-and-Control-Server ausführen kann. LegionRelay ist ebenfalls PowerShell-basiert und ermöglicht Dateiaufzählung, Datendiebstahl, Screenshots, Browser-Datenabgriffe sowie das Abgreifen von Telegram- und WhatsApp-Daten. FallSpy stiehlt auf Android-Geräten Kontakte, Anrufprotokolle, App-Listen, Geräte- und Netzwerkinformationen sowie Standortdaten.
WithSecure-Analysten bestätigten mit mittlerer Konfidenz, dass mehrere dieser Tools mit LLM-Unterstützung entwickelt wurden. Dies zeigt sich besonders bei LegionRelay und der zugehörigen Backend-Infrastruktur, wo KI-Nutzungsmuster erkennbar sind.
Quelle: www.csoonline.com
Lumi AI News – KI-assistierte Kuratierung gemaess Art. 50 EU AI Act.