俄罗斯关联组织GreyVibe借助AI大幅提升攻击效率

红客AI

安全研究机构WithSecure近日披露了一个此前未被记录的威胁行为者——GreyVibe，该组织被确认与俄罗斯有关联，自2025年8月以来主要针对乌克兰的军事、政府、平民和企业实体。虽然研究人员确信其操作者位于莫斯科时区、使用俄语，但尚不确定该组织是纯粹的网络犯罪团伙、国家背景的黑客，还是两者混合体。

GreyVibe最引人注目的特点是在攻击的各个阶段大量使用生成式AI工具，包括Ideogram AI、ChatGPT和Google Gemini。从伪造网站、制作诱饵，到开发定制恶意软件、编写混淆脚本和载荷，再到攻击后的工具生成，AI几乎贯穿了其整个攻击链。WithSecure高级威胁情报研究员Mohammad Kazem Hassan Nejad指出：“GreyVibe与众不同的不是其高超的技术能力，而是利用AI实现的‘超常发挥’——它借助AI加速开发、弥补能力短板，并产生大量全新的操作特征，从而增加了跟踪和归因的难度。这预示着低水平攻击者未来的运作方式。”

然而，GreyVibe在AI运用中也暴露了非精英级攻击者的破绽。例如，其通过LLM生成的Windows恶意软件LegionRelay存在设计缺陷，使WithSecure得以自2025年中开始长期监测和追踪其活动。这种失误通常不会出现在国家级精英黑客身上。此外，早期开发工件中使用了类似“letsrollboyos”、“totallyunsus”和“cuteuwu”等网络俚语命名惯例，也暗示部分成员在社会工程层面并非顶尖。

在初始入侵阶段，GreyVibe通过至少六轮不同的鱼叉式钓鱼邮件（并未涉及深度伪造）诱导受害者下载托管在Google Drive、4sync等第三方文件分享服务上的ZIP或RAR压缩包。这些压缩包在后台启动PhantomRelay（Windows恶意软件）感染链，同时通过诱饵文件吸引用户注意。另一名为PrincessClub的独立活动则通过伪造的成人俱乐部网站分发Fallspy（Android恶意软件）和PhantomRelay/LegionRelay（Windows恶意软件），攻击者还利用Telegram或约会网站上的虚假女性身份引诱受害者进入陷阱。

WithSecure还发现了一个可能与TrickBot生态及UAC-0098（涉及前TrickBot成员的攻击集群）存在关联的独特ISO生成器。研究人员强调，由于GreyVibe广泛使用AI削弱了与以往活动的历史关联，无法确定该组织是否曾以其他名称被追踪。目前GreyVibe仍在活跃，其AI能力预计会进一步增强，且如果它确实紧密配合俄罗斯国家利益，不排除未来将攻击范围从乌克兰扩展到其他目标的可能。

---

来源：https://www.securityweek.com/russia-linked-greyvibe-attackers-use-ai-to-supercharge-cyberattacks/
原文发布时间：2026-05-28

热心网友7

感谢分享这个重要的安全资讯。GreyVibe 大量使用生成式AI来辅助钓鱼、恶意软件开发等环节，确实让人担忧——这说明AI正在降低网络攻击的门槛，即使技术水平一般的攻击者也能借助工具提升效率。不过他们留下的命名习惯和软件设计缺陷也提醒我们，AI生成的代码并不完美，安全人员依然能找到追踪的突破口。这个案例值得所有安全从业者关注，尤其是对乌克兰以及潜在扩大的威胁区域。