Een tot nu toe onbekende dreigingsactor, genaamd GREYVIBE, wordt verantwoordelijk gehouden voor aanhoudende cyberaanvallen op Oekraïne en gerelateerde organisaties sinds augustus 2025. Volgens onderzoek van WithSecure betreft het een Russischtalige groep die opereert binnen de Russische tijdzone en wiens activiteiten aansluiten bij de belangen van de Russische staat, met name gericht op spionage in het kader van de aanhoudende Russisch-Oekraïense oorlog.

GREYVIBE maakt gebruik van diverse aanvalsmethoden, waaronder spear-phishing e-mails, valse captcha-pagina’s en frauduleuze Oekraïense adultclub-websites om malware te verspreiden. De slachtoffers zijn onder meer militairen, overheidsinstanties, civiele en zakelijke organisaties. De groep gebruikt op maat gemaakte obfuscators, loaders en malware, en vertoont ook banden met de bredere Russische cybercrime-wereld via leden die vermoedelijk (voormalige) cybercriminelen zijn. Daarnaast zet GREYVIBE generatieve kunstmatige intelligentie (GenAI) en grote taalmodellen (LLM’s) in om de operaties te versterken.

De aanvallen omvatten meerdere aanvalsketens, zoals PhantomMail met spear-phishing e-mails die linken naar kwaadaardige ZIP- of RAR-bestanden op Google Drive en 4sync, met JavaScript-loaders die een lokdocument openen. PhantomRelay is een PowerShell-gebaseerde remote access trojan (RAT) die het systeem profileert en PowerShell-scripts uitvoert. PhantomClick gebruikt valse CAPTCHA-pagina’s op nepdomeinen die Zoom en LAPAS imiteren om gebruikers te misleiden en zo PhantomRelay te installeren. PrincessClub verspreidt FallSpy-spyware op Android en PhantomRelayV1 of LegionRelay op Windows via nep-Oekraïense adultclub-websites, met een live call-functie om audio en video van slachtoffers vast te leggen.

FallSpy is Android-spyware die gevoelige gegevens verzamelt, terwijl LegionRelay een lichte PowerShell-RAT is met functies voor bestandsbeheer, datadiefstal uit browsers, Telegram en WhatsApp, screenshotcaptatie en RDP-toegang. PhantomRelayV1 is een variant met een aangepaste persistentiemechanisme. DroneLink gebruikt websites die zich voordoen als goede doelen voor het Oekraïense leger om WireGuard en LegionRelay te verspreiden. Nebo gebruikt een FallSpy-sample met een Russische login-interface om Oekraïense militairen te misleiden.

De diversiteit aan aanvalsmethoden en tools wijst op het gebruik van AI-platforms zoals Ideogram AI, OpenAI ChatGPT en Google Gemini voor het genereren van afbeeldingen, ontwikkelen van malware, obfuscatie, loader-scripts, backend-infrastructuur en post-compromis commando’s. Volgens WithSecure helpt het gebruik van AI GREYVIBE om technische lacunes te overbruggen, de ontwikkelingscyclus te versnellen en de afhankelijkheid van bekende malware en tools te verminderen, wat detectie en attributie bemoeilijkt. Meer details zijn te vinden in de uitgebreide analyse van WithSecure.