Финская компания по кибербезопасности WithSecure раскрыла детали деятельности ранее неизвестной хакерской группировки GREYVIBE, которая как минимум с августа 2025 года атакует военных, чиновников и гражданских лиц в Украине. Отличительная черта группировки — систематическое использование генеративного искусственного интеллекта на всех этапах операций.
Для заражения устройств жертв хакеры задействовали несколько схем. Первая — целевые фишинговые письма (письма с вредоносными вложениями, замаскированные под официальную переписку): в них злоумышленники имитировали сотрудников Киевского горсовета, украинских энергетических компаний и государственных ведомств. Вторая — поддельные страницы верификации Cloudflare: жертву убеждали выполнить якобы стандартную проверку безопасности, в ходе которой на ее устройство незаметно устанавливалась вредоносная программа. Третья и наиболее примечательная схема — фиктивные украинские сайты знакомств для взрослых, через которые распространялись шпионские программы для смартфонов на Android и компьютеров под управлением Windows. Среди подтвержденных жертв этой кампании — украинские военнослужащие, многие из которых находились в Харькове. Для выхода на потенциальных жертв операторы группировки создавали фиктивные женские профили в Telegram, в том числе в каналах знакомств.
Ключевую роль в операциях GREYVIBE играет искусственный интеллект. Исследователи выявили следы использования нескольких платформ — ChatGPT, Google Gemini и Ideogram AI — при создании изображений для сайтов-приманок, разработке вредоносного программного обеспечения и написании команд для управления зараженными устройствами. По оценке WithSecure, речь идет не об экспериментах, а о системном и целенаправленном использовании ИИ, которое позволяет группировке компенсировать нехватку технических компетенций и быстрее создавать новые инструменты.
Несмотря на то что цели и методы GREYVIBE указывают на связь с российскими государственными интересами, ряд признаков отличает группировку от типичных спецслужбистских структур. Операторы совершали характерные для киберпреступников ошибки: загружали тестовые образцы вредоносных программ на общедоступные платформы проверки файлов, на части зараженных устройств устанавливали программы для майнинга криптовалюты, а во внутренних названиях файлов использовали сленговые выражения вроде letsrollboyos или cuteuwu. WithSecure с умеренной степенью уверенности предполагает, что в состав группировки входят действующие или бывшие киберпреступники.
Российские хакерские группировки, связанные с ГРУ, атакуют украинские цели с начала полномасштабного вторжения. The Insider ранее публиковал расследования о деятельности группировок Fancy Bear (в/ч 26165) и Sandworm (в/ч 74455), которые проводили операции против государственных структур, СМИ и военной инфраструктуры Украины и ее союзников. GREYVIBE пока не удалось связать ни с одной из известных группировок.
