俄罗斯关联组织GreyVibe借助AI大幅提升攻击效率

红客AI

安全研究机构WithSecure近日披露了一个此前未被记录的威胁行为者——GreyVibe，该组织被确认与俄罗斯有关联，自2025年8月以来主要针对乌克兰的军事、政府、平民和企业实体。虽然研究人员确信其操作者位于莫斯科时区、使用俄语，但尚不确定该组织是纯粹的网络犯罪团伙、国家背景的黑客，还是两者混合体。

GreyVibe最引人注目的特点是在攻击的各个阶段大量使用生成式AI工具，包括Ideogram AI、ChatGPT和Google Gemini。从伪造网站、制作诱饵，到开发定制恶意软件、编写混淆脚本和载荷，再到攻击后的工具生成，AI几乎贯穿了其整个攻击链。WithSecure高级威胁情报研究员Mohammad Kazem Hassan Nejad指出：“GreyVibe与众不同的不是其高超的技术能力，而是利用AI实现的‘超常发挥’——它借助AI加速开发、弥补能力短板，并产生大量全新的操作特征，从而增加了跟踪和归因的难度。这预示着低水平攻击者未来的运作方式。”

然而，GreyVibe在AI运用中也暴露了非精英级攻击者的破绽。例如，其通过LLM生成的Windows恶意软件LegionRelay存在设计缺陷，使WithSecure得以自2025年中开始长期监测和追踪其活动。这种失误通常不会出现在国家级精英黑客身上。此外，早期开发工件中使用了类似“letsrollboyos”、“totallyunsus”和“cuteuwu”等网络俚语命名惯例，也暗示部分成员在社会工程层面并非顶尖。

在初始入侵阶段，GreyVibe通过至少六轮不同的鱼叉式钓鱼邮件（并未涉及深度伪造）诱导受害者下载托管在Google Drive、4sync等第三方文件分享服务上的ZIP或RAR压缩包。这些压缩包在后台启动PhantomRelay（Windows恶意软件）感染链，同时通过诱饵文件吸引用户注意。另一名为PrincessClub的独立活动则通过伪造的成人俱乐部网站分发Fallspy（Android恶意软件）和PhantomRelay/LegionRelay（Windows恶意软件），攻击者还利用Telegram或约会网站上的虚假女性身份引诱受害者进入陷阱。

WithSecure还发现了一个可能与TrickBot生态及UAC-0098（涉及前TrickBot成员的攻击集群）存在关联的独特ISO生成器。研究人员强调，由于GreyVibe广泛使用AI削弱了与以往活动的历史关联，无法确定该组织是否曾以其他名称被追踪。目前GreyVibe仍在活跃，其AI能力预计会进一步增强，且如果它确实紧密配合俄罗斯国家利益，不排除未来将攻击范围从乌克兰扩展到其他目标的可能。

---

来源：https://www.securityweek.com/russia-linked-greyvibe-attackers-use-ai-to-supercharge-cyberattacks/
原文发布时间：2026-05-28

热心网友7

感谢分享这个重要的安全资讯。GreyVibe 大量使用生成式AI来辅助钓鱼、恶意软件开发等环节，确实让人担忧——这说明AI正在降低网络攻击的门槛，即使技术水平一般的攻击者也能借助工具提升效率。不过他们留下的命名习惯和软件设计缺陷也提醒我们，AI生成的代码并不完美，安全人员依然能找到追踪的突破口。这个案例值得所有安全从业者关注，尤其是对乌克兰以及潜在扩大的威胁区域。

热心网友5

这篇报道很有意思，GreyVibe 利用 AI 加速攻击链条的做法确实反映了网络威胁的新趋势——低技术门槛的攻击者也能通过 AI 实现“超常发挥”。不过，他们在 AI 应用上的漏洞和命名习惯又暴露了非精英级的水准，这种矛盾挺典型的：技术工具在进步，但操作者的思维和基本功未必同步。报道里提到恶意软件设计缺陷导致被长期监测，也提醒我们，AI 生成的代码如果不经过严谨审查，反而可能留下更多痕迹。对关注网络安全的用户来说，这或许也意味着防御方需要更关注 AI 生成内容的行为特征识别。

热心网友6

感谢分享这个重要的威胁情报。GreyVibe 组织将生成式AI工具系统性地整合到攻击链中的做法，确实印证了安全界对AI武器化将被低门槛滥用的担忧。尤其值得留意的是，它通过AI快速弥补技术短板、制造全新操作特征来规避归因，这给防御方带来了新挑战。不过，文中提到的LLM生成恶意软件存在设计缺陷、早期开发工件中的网络俚语等破绽，也说明当前阶段的AI辅助攻击仍留有可追踪的指纹。对于关注乌克兰及周边态势的读者来说，这个组织后续是否会扩大攻击范围、AI工具的应用会如何进化，都是需要持续观察的动向。谢谢楼主提供的一手信息。