Финская компания по кибербезопасности WithSecure раскрыла деятельность загадочной хакерской группировки под названием GREYVIBE, которая с августа 2025 года проводит атаки на военных, чиновников и гражданских лиц в Украине. Главной особенностью этой команды является использование генеративного искусственного интеллекта на всех этапах операций.
Для заражения устройств своих жертв хакеры разработали несколько схем. Первой из них стали целевые фишинговые письма, в которых злоумышленники умело маскировались под сотрудников Киевского горсовета и других государственных ведомств. Вторая схема — поддельные страницы верификации Cloudflare, через которые жертву вводили в заблуждение, предлагая пройти “стандартную” проверку безопасности. Наиболее изощренной оказалась третья схема: фиктивные украинские сайты знакомств для взрослых, через которые распространялись шпионские программы для Android и Windows. Среди пострадавших оказались украинские военнослужащие, в том числе находившиеся в Харькове. Для поиска потенциальных жертв операторы создавали фальшивые профили в Telegram, включая каналы знакомств.
Ключевую роль в операциях GREYVIBE играет искусственный интеллект. Исследователи обнаружили следы использования таких платформ, как ChatGPT, Google Gemini и Ideogram AI, для создания изображений, разработки вредоносного ПО и написания команд для управления зараженными устройствами. Это не просто эксперименты: систематическое использование ИИ позволяет хакерам компенсировать нехватку собственных технических навыков и ускорять разработку новых инструментов.
Несмотря на то что цели и методы GREYVIBE намекают на связь с российскими государственными интересами, ряд признаков отличает их от типичных государственных структур. Хакеры совершали ошибки, характерные для киберпреступников: загружали тестовые образцы вредоносных программ на открытые платформы, устанавливали программы для майнинга криптовалюты и использовали сленговые выражения в названиях файлов. WithSecure предполагает, что в группировку могут входить действующие или бывшие киберпреступники.
Российские хакерские группировки, связанные с ГРУ, атакуют украинские цели с начала полномасштабного вторжения. Ранее The Insider публиковал расследования о деятельности Fancy Bear и Sandworm. Однако GREYVIBE пока не удалось связать с какой-либо из известных группировок.
Таким образом, GREYVIBE представляет собой новый вызов в мире киберугроз. Системное использование ИИ, нестандартный подход к атакам и характерные ошибки свидетельствуют о гибридной природе этой группировки, которая умело балансирует на грани между государственными интересами и киберпреступностью.
