Um threat actor até então não documentado, batizado de GREYVIBE, foi atribuído a ataques contínuos e persistentes contra a Ucrânia e entidades relacionadas ao país desde pelo menos agosto de 2025.
Segundo a WithSecure, o GREYVIBE é avaliado como um grupo de língua russa que opera, de forma ampla, no fuso horário russo, com atividades alinhadas aos interesses do Kremlin, especialmente em ações de coleta de inteligência voltadas à Ucrânia no contexto da guerra russo-ucraniana em curso. Embora sua atividade seja compatível com uma operação de Estado-nação, a empresa observa que o grupo “carece do nível de sofisticação e da disciplina operacional normalmente associados a atores maduros de Estado-nação”.
“O grupo utilizou múltiplos vetores de ataque, incluindo e-mails de spear phishing, páginas falsas de captcha e sites fraudulentos de clubes adultos ucranianos para entregar malware a um conjunto diverso de vítimas”, afirmou o pesquisador da WithSecure Mohammad Kazem Hassan Nejad em uma análise. “Ao longo dessas campanhas, o grupo recorreu a ofuscadores, loaders e malware desenvolvidos sob medida.”
O conjunto de vítimas inclui organizações militares, governamentais, civis e empresas.
A empresa de cibersegurança descobriu a atividade em janeiro deste ano e concluiu que o foco está em organizações ucranianas ou relacionadas à Ucrânia. A ligação com um threat actor de língua russa é sustentada pelo idioma usado nos painéis do malware, por comentários em artefatos de código e pela configuração de horário dos servidores de command and control (C2) para UTC+3, fuso horário russo.
Segundo os pesquisadores, o GREYVIBE usou várias cadeias de ataque contra seus alvos, incluindo:
PhantomMail: e-mails de spear phishing que entregavam links para arquivos ZIP ou RAR maliciosos hospedados no Google Drive e no 4sync. Esses arquivos continham loaders baseados em JavaScript para abrir um documento isca e o PhantomRelay, um trojan de acesso remoto, ou RAT, baseado em PowerShell, projetado para identificar o host e executar scripts em PowerShell e comandos do Windows. As iscas observadas imitavam órgãos do governo ucraniano, serviços de emergência, telecomunicações e energia.
PhantomClick: páginas falsas de CAPTCHA no estilo ClickFix, em domínios que se passavam por Zoom e LAPAS, enganavam as vítimas para que executassem comandos que iniciavam uma cadeia de infecção do PhantomRelay por meio de falsas solicitações de verificação da Cloudflare.
PrincessClub: sites falsos ucranianos de clubes adultos e namoro distribuíam o spyware Android FallSpy e os malwares Windows PhantomRelayV1 ou LegionRelay. Os operadores usavam perfis falsos de mulheres no Telegram e, em versões posteriores, passaram a incluir chamadas ao vivo baseadas em WebRTC, que podiam capturar áudio e vídeo da vítima.
DroneLink: sites falsos de instituições de caridade de apoio às Forças Armadas da Ucrânia, com temas de drones FPV e UAVs, compartilhavam infraestrutura e ferramentas com as campanhas PrincessClub. Em algumas versões, a cadeia também distribuía WireGuard e LegionRelay.
Nebo: páginas falsas de login do sistema militar russo “СПО НЕБО” provavelmente foram criadas para enganar militares ucranianos, levando-os a acreditar que estavam acessando um terminal militar russo.
A diversidade e a qualidade dessas iscas chamam atenção, e a WithSecure afirma que isso é resultado do uso de várias ferramentas de IA, incluindo OpenAI ChatGPT, Ideogram AI e Google Gemini, para gerar conteúdo detalhado e realista de apoio às campanhas. A empresa também vê indícios de que o adversário está usando inteligência artificial generativa, ou GenAI, e modelos de linguagem de grande porte, os LLMs, para ampliar a escala e a eficiência de suas operações.
O uso de IA também se estende à criação de ferramentas. Os pesquisadores citam LOOKVALPS, LOOKVALJS, DAYLIGHT e TEASOUP, todos ofuscadores personalizados que provavelmente foram desenvolvidos com ajuda de LLMs. Um trojan de acesso remoto baseado em PowerShell chamado LegionRelay também provavelmente foi desenvolvido com auxílio de ferramentas de IA, segundo os pesquisadores.
O LegionRelay, descrito como um RAT leve, permite enumeração de arquivos, exfiltração de arquivos, captura de telas, roubo de credenciais de navegador, exfiltração de dados do Telegram e do WhatsApp, além da configuração de acesso via RDP. Já o PhantomRelayV1 é uma variante do PhantomRelay com um mecanismo personalizado de persistência por watchdog. O PhantomRelay, por sua vez, permite reconhecimento do sistema, carregamento dinâmico de scripts e execução de comandos do PowerShell e do Windows.
Por fim, os hackers empregaram o spyware Android FallSpy nas campanhas PrincessClub e Nebo, com foco exclusivo na coleta de inteligência. O malware coleta listas de contatos, registros de chamadas, informações do dispositivo e da rede, dados de localização, arquivos de mídia e informações do chip SIM.
No conjunto, a WithSecure descreve o grupo como “pouco a moderadamente sofisticado”, com falhas de segurança operacional e uso de ferramentas assistidas por IA para impulsionar o desenvolvimento de malware. Segundo Nejad, o uso de IA traz várias vantagens, entre elas preencher lacunas de conhecimento técnico, acelerar o ciclo de desenvolvimento e reduzir a dependência de malware ou ferramentas previamente conhecidos, o que poderia ajudar em esforços de atribuição. “Se um ator consegue gerar, refatorar ou substituir com frequência componentes de sua estrutura operacional com ajuda de IA, métodos tradicionais de cluster baseados em artefatos técnicos estáveis podem se tornar menos confiáveis com o tempo”, disse.
Ainda assim, o uso de IA também acabou introduzindo falhas de design no LegionRelay, expondo funcionalidades do backend do malware.
A WithSecure afirma que o GREYVIBE também mantém vínculos com o ecossistema mais amplo de cibercrime russo por meio de alguns de seus membros, que seriam atuais ou ex-atores do cibercrime. Além disso, o malware PhantomRelay já foi visto em atividades de cibercrime, embora os pesquisadores tenham conseguido distinguir seu uso de operações alinhadas ao Estado.
Isso levou a equipe a acreditar que o GREYVIBE pode incluir “atuais ou ex-atores do cibercrime”. Algumas evidências que apontam para essa hipótese incluem o uso, em amostras iniciais e de teste, de um gerador de ISO exclusivo associado a um grupo de ex-integrantes do TrickBot, identificado como UAC-0098, que atacou a Ucrânia no início da invasão russa. Além disso, o threat actor enviou amostras de desenvolvimento e de teste para o VirusTotal, algo incomum em atores de Estado-nação.
Em alguns equipamentos das vítimas, também foi instalado o minerador XMRig.
Os vínculos do grupo com o ecossistema do cibercrime se baseiam ainda na presença de variantes do PhantomRelay em conjuntos de atividade aparentemente não relacionados, como uma campanha de vishing no Microsoft Teams entre julho de 2025 e fevereiro de 2026, e uma cadeia de entrega KongTuke entre o fim de fevereiro e o fim de março de 2026, que usou ClickFix para distribuir o malware. Os pesquisadores também citaram o uso de gírias da internet, como “letsrollboyos”, “totallyunsus” e “cuteuwu”, como convenções de nomeação para artefatos de desenvolvimento.
“No conjunto, avaliamos com confiança moderada que o grupo tem vínculos com o ecossistema mais amplo de cibercrime e, com confiança baixa a moderada, que ele inclui membros atuais ou antigos do cibercrime”, disse a WithSecure. “A natureza exata da relação com o Estado russo permanece obscura, seja porque esses membros tenham sido absorvidos por um grupo apoiado pelo Estado, operem de forma independente sob ordens estatais ou tenham formado uma equipe híbrida.”
“O grupo ocupa uma área cinzenta entre o cibercrime e a atividade vinculada a Estado, o que complica os esforços de atribuição e embaralha as distinções tradicionais entre essas categorias.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...