Auf den Punkt: GreyVibe kompensiert durch intensive Nutzung kommerzieller KI-Tools technische Defizite und ermöglicht damit eine Angriffsskalierung, die normalerweise große personelle Ressourcen erfordert.
Die mutmaßlich russische Bedrohungsgruppe GreyVibe nutzt generative KI-Modelle wie ChatGPT und Google Gemini zur systematischen Skalierung ihrer Angriffe gegen militärische und zivile Ziele in der Ukraine. WithSecure dokumentiert seit August 2025 ein Kampagnenmuster, das KI-Werkzeuge über alle Angriffsphasen hinweg einsetzt.
Das finnische Sicherheitsunternehmen WithSecure hat eine bis dahin undokumentierte Bedrohungsgruppe namens GreyVibe analysiert, die systematisch generative Künstliche Intelligenz für Cyberangriffe nutzt. Die Analysten ordnen die Gruppe mit hoher Zuverlässigkeit dem russischsprachigen Raum zu, basierend auf konsistenten Operationszeiten in der Moskauer Zeitzone. Ob es sich um reine Cyberkriminelle, staatlich gelenkte Einheiten oder eine Hybrid-Form handelt, bleibt unklar.
Seit August 2025 zielt GreyVibe primär auf militärische Einrichtungen, Regierungsbehörden, zivile Institutionen und private Unternehmen in der Ukraine ab. Besonders relevant für die CISO-Praxis ist die durchgehende Integration von KI-Werkzeugen in alle Phasen des Angriffszyklus: Die Gruppe nutzt Ideogram AI, ChatGPT von OpenAI und Google Gemini zur Erstellung von gefälschten Webseiten, täuschend echten Phishing-Ködern, maßgeschneiderter Malware und Post-Exploitation-Tools. Zusätzlich werden KI-Modelle zur Obfuskation von Skripten und Loadern eingesetzt, um die Erkennung durch signaturbasierte Sicherheitslösungen zu erschweren. Diese schiere Menge an KI-generierten Komponenten ermöglicht der Gruppe, technische Entwicklungsdefizite zu kompensieren und Angriffe in einer Frequenz und Vielfalt durchzuführen, die normalerweise erheblich größere personelle und finanzielle Ressourcen erfordern würde.
Die technische Analyse der Windows-Malware LegionRelay offenbarte jedoch auch die Grenzen dieses Ansatzes. Der von Sprachmodellen generierte Code enthielt logische Designfehler – typischerweise entstehen solche Fehler, wenn komplexe Programmieraufgaben von KI-Modellen ohne anschließende manuelle Überprüfung durch erfahrene Entwickler umgesetzt werden. Diese spezifischen Fehler ermöglichten es WithSecure, die GreyVibe-Aktivitäten ab Mitte 2025 präzise zu verfolgen und die Infrastruktur der Gruppe zu analysieren. Solche Fehler im Quellcode sind untypisch für staatliche Elite-Hacker, die ihre Werkzeuge üblicherweise manuell entwickeln und ausgiebig testen.
Quelle: www.it-daily.net · Erschienen 4. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.