GreyVibe rappresenta uno dei primi esempi documentati di gruppo Russia-nexus che integra l’intelligenza artificiale generativa come componente strutturale delle proprie operazioni offensive. L’analisi pubblicata da WithSecure Labs mostra come il threat actor utilizzi sistematicamente ChatGPT, Google Gemini e Ideogram AI per sviluppare infrastrutture di phishing, malware, strumenti di evasione e contenuti di social engineering destinati a target ucraini. Le attività osservate a partire da agosto 2025 hanno colpito organizzazioni governative, militari, civili e aziendali legate al conflitto tra Russia e Ucraina. Sebbene il livello di sofisticazione tecnica venga valutato come basso-moderato, il gruppo compensa le proprie limitazioni attraverso un uso intensivo degli LLM, capaci di accelerare lo sviluppo operativo e aumentare la variabilità degli strumenti utilizzati. La ricerca evidenzia come l’IA generativa non sia più un semplice supporto alla produttività degli attaccanti, ma un moltiplicatore di capacità che permette anche ad attori non particolarmente avanzati di costruire campagne articolate, adattive e difficili da attribuire. La combinazione di spear-phishing, pagine CAPTCHA fraudolente, siti web falsi e malware sviluppati con assistenza AI conferma una trasformazione profonda nel panorama delle minacce contemporanee.
Cosa leggere
GreyVibe emerge come nuovo attore Russia
Secondo WithSecure, GreyVibe è un cluster precedentemente sconosciuto che presenta numerosi indicatori riconducibili all’ecosistema russo. Gli operatori utilizzano la lingua russa, operano prevalentemente nel fuso orario di Mosca e concentrano le proprie attività contro interessi ucraini. Pur non mostrando legami diretti con gruppi APT già catalogati, il comportamento operativo evidenzia sovrapposizioni con ambienti di cybercrime russofono e con infrastrutture già osservate in altre campagne criminali. Gli analisti hanno individuato pattern ricorrenti nella costruzione delle esche, nelle modalità di distribuzione del malware e nell’utilizzo di strumenti personalizzati sviluppati con il supporto dell’IA. Il gruppo appare particolarmente focalizzato sulla raccolta di intelligence relativa al conflitto in corso, con un interesse verso istituzioni governative, organizzazioni militari, operatori civili e soggetti coinvolti nelle attività logistiche e di supporto all’Ucraina. La caratteristica distintiva di GreyVibe non è la complessità tecnica assoluta, ma la capacità di sfruttare gli strumenti generativi per aumentare velocità, adattabilità e volume delle operazioni. Questa strategia permette di ridurre i tempi di sviluppo, generare rapidamente nuove varianti e modificare continuamente l’impronta tecnica delle campagne.
ChatGPT, Gemini e Ideogram diventano strumenti offensivi
L’aspetto più significativo del report riguarda l’utilizzo sistematico di ChatGPT, Google Gemini e Ideogram AI lungo l’intera catena operativa. Gli operatori sfruttano questi sistemi per creare immagini persuasive, contenuti di phishing, pagine web fraudolente, script di automazione, loader e componenti malware. L’impiego degli LLM consente di produrre codice nuovo senza ricorrere continuamente a repository già noti o a strumenti pubblicamente associati a campagne precedenti. Questa caratteristica rende più complesso il lavoro di attribuzione e rilevamento basato su firme tradizionali. Gli strumenti generativi vengono inoltre utilizzati per elaborare script post-compromissione, procedure di esfiltrazione dati e moduli di automazione che velocizzano il lavoro degli operatori. L’intelligenza artificiale diventa quindi un acceleratore operativo capace di colmare lacune tecniche e aumentare la produttività del gruppo. Tuttavia, proprio la natura generativa degli strumenti ha lasciato tracce riconoscibili. Alcuni errori tipici del codice prodotto dagli LLM hanno consentito agli analisti di WithSecure di ricostruire parti dell’infrastruttura e comprendere meglio le modalità operative degli attaccanti. Questo dimostra come l’IA possa contemporaneamente rafforzare e indebolire gli attori che la utilizzano, introducendo nuove opportunità ma anche nuovi elementi identificativi.
Campagne di phishing costruite attorno al contesto della guerra
Le campagne attribuite a GreyVibe mostrano una forte attenzione alla contestualizzazione. Gli attaccanti sfruttano eventi reali, organizzazioni conosciute e riferimenti concreti alla guerra per aumentare la credibilità delle esche. La campagna PhantomMail utilizza email di spear-phishing che impersonano enti pubblici ucraini, tra cui il Consiglio comunale di Kiev e il Servizio di emergenza statale. I messaggi contengono collegamenti a file ospitati su piattaforme legittime come Google Drive e 4sync, distribuiti sotto forma di archivi compressi. Una volta aperti, questi archivi eseguono loader basati su PyInstaller o script JavaScript che mostrano documenti esca mentre installano il malware in background. La strategia sfrutta l’abitudine delle vittime ad aprire comunicazioni apparentemente ufficiali, combinando contenuti credibili con meccanismi di esecuzione silenziosa. La capacità di produrre rapidamente nuove varianti testuali e grafiche tramite IA consente agli operatori di adattare continuamente le campagne, aumentando il tasso di successo e riducendo l’efficacia delle difese basate su modelli ricorrenti.
PhantomClick e i falsi CAPTCHA come vettore di compromissione
Tra le tecniche più interessanti documentate da WithSecure emerge PhantomClick, una campagna che sfrutta pagine CAPTCHA false progettate per imitare servizi legittimi come Zoom o sistemi di verifica Cloudflare. Le vittime vengono convinte a eseguire manualmente una serie di comandi presentati come procedura necessaria per verificare la propria identità o accedere a contenuti protetti. Le istruzioni, redatte in lingua ucraina, risultano particolarmente credibili e sfruttano dinamiche psicologiche già osservate in altre campagne di social engineering. Una volta eseguiti i comandi, il sistema scarica ed esegue il malware predisposto dagli attaccanti. Questa tecnica dimostra come la combinazione tra IA generativa, design persuasivo e conoscenza del contesto locale possa aumentare notevolmente l’efficacia delle operazioni offensive. I modelli linguistici consentono infatti di generare rapidamente testi convincenti e coerenti con il linguaggio utilizzato dalle organizzazioni impersonate.
PrincessClub e DroneLink sfruttano relazioni sociali e beneficenza
Un altro elemento distintivo delle operazioni di GreyVibe è la capacità di costruire scenari credibili attorno a interessi personali o iniziative benefiche. La campagna PrincessClub utilizza siti web fraudolenti che imitano club per adulti ucraini e sfrutta profili Telegram falsi per instaurare un rapporto di fiducia con le vittime prima della distribuzione del malware. In parallelo, la campagna DroneLink si basa su siti che simulano raccolte fondi destinate all’acquisto di droni per le forze armate ucraine.
In entrambi i casi gli attaccanti sfruttano temi emotivamente rilevanti per spingere gli utenti al download di software malevolo. Le esche generate tramite IA permettono di creare contenuti grafici e testuali personalizzati, aumentando il realismo delle operazioni. Questa strategia dimostra come il gruppo non si limiti a colpire infrastrutture governative, ma punti anche a individui coinvolti direttamente o indirettamente nel conflitto.
PhantomRelay domina l’ecosistema malware del gruppo
Il malware principale associato a GreyVibe è PhantomRelay, un RAT progettato per fornire controllo remoto sui sistemi Windows compromessi. Il malware utilizza comunicazioni basate su WebSocket e permette l’esecuzione di comandi di sistema, script PowerShell e operazioni di gestione remota. Gli analisti hanno identificato diverse varianti, tra cui PhantomRelayLite, PhantomRelayV1 e PhantomRelayV2, ciascuna con caratteristiche differenti in termini di persistenza e resilienza. Per proteggere il codice dagli strumenti di analisi, il gruppo utilizza l’obfuscator DAYLIGHT, sviluppato per complicare il reverse engineering. PhantomRelay costituisce il cuore operativo delle campagne e rappresenta il principale strumento utilizzato per la raccolta di informazioni, il controllo delle macchine infette e la distribuzione di ulteriori componenti malevoli.
LegionRelay amplia le capacità di spionaggio
Accanto a PhantomRelay opera LegionRelay, un RAT più leggero basato su comunicazioni REST API. Questo strumento permette agli attaccanti di eseguire comandi remoti, scaricare payload aggiuntivi, acquisire screenshot, raccogliere dati da browser web e applicazioni di messaggistica come Telegram e WhatsApp, oltre a predisporre connessioni RDP per accessi successivi. LegionRelay è particolarmente interessante perché presenta numerosi errori di progettazione riconducibili all’uso di modelli linguistici generativi. Tali difetti hanno consentito a WithSecure di ricostruire porzioni significative dell’infrastruttura backend e comprendere meglio il funzionamento interno delle operazioni. Questo caso evidenzia come il codice assistito da IA possa velocizzare lo sviluppo ma introdurre vulnerabilità e anomalie che facilitano il lavoro degli analisti.
FallSpy porta le operazioni anche su Android
Le attività di GreyVibe non si limitano a Windows. Il gruppo utilizza infatti FallSpy, uno spyware Android progettato per raccogliere una vasta gamma di informazioni dai dispositivi mobili compromessi. Il malware acquisisce contatti, cronologia delle chiamate, elenco delle applicazioni installate, dati relativi alla SIM, posizione geografica, indirizzi IP e contenuti multimediali presenti sul dispositivo. Questa capacità amplia significativamente il potenziale di raccolta intelligence del gruppo, consentendo di monitorare sia utenti civili sia soggetti coinvolti nelle attività militari o governative. L’integrazione di componenti Android conferma la volontà di operare su più piattaforme e aumentare la superficie di attacco disponibile.
I legami con il cybercrime russo emergono dall’analisi tecnica
L’analisi di WithSecure evidenzia diversi collegamenti tra GreyVibe e l’ecosistema del cybercrime russofono. Alcuni strumenti utilizzati dal gruppo mostrano somiglianze con builder associati a TrickBot e al cluster UAC-0098, mentre PhantomRelayLite è stato osservato anche in campagne di voice-phishing basate su Microsoft Teams e tecniche ClickFix. Gli operatori utilizzano terminologia tipica dei forum criminali e distribuiscono strumenti come XMRig per il mining di criptovalute. Questi elementi suggeriscono che il gruppo possa includere ex membri di organizzazioni criminali o collaborare con ambienti già attivi nel cybercrime. Nonostante ciò, il focus principale rimane la raccolta di intelligence coerente con interessi strategici russi legati alla guerra in Ucraina.
L’IA generativa cambia il modello operativo delle minacce moderne
Il caso GreyVibe dimostra come l’intelligenza artificiale generativa stia trasformando radicalmente il panorama delle minacce informatiche. Attori con capacità tecniche moderate possono oggi utilizzare strumenti come ChatGPT, Gemini e altri modelli per sviluppare malware, campagne di phishing e infrastrutture offensive in tempi significativamente inferiori rispetto al passato. Questa evoluzione riduce la barriera d’ingresso, aumenta il volume delle operazioni e rende più difficile individuare pattern ricorrenti. Secondo WithSecure, le organizzazioni devono rafforzare il monitoraggio comportamentale, adottare tecniche di rilevamento avanzate e prepararsi a un ecosistema in cui il codice generato da IA diventa sempre più comune. GreyVibe rappresenta quindi non soltanto una minaccia specifica per l’Ucraina, ma anche un’anticipazione di ciò che potrebbe diventare la normalità nelle future operazioni cibernetiche sostenute o favorite da attori statali.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
