GREYVIBE colpisce l’Ucraina con malware “AI-powered”: phishing, CAPTCHA-trappola e spyware con WebRTC per audio/video live
Featured

GREYVIBE colpisce l’Ucraina con malware “AI-powered”: phishing, CAPTCHA-trappola e spyware con WebRTC per audio/video live

news Visite: 4

Il gruppo di minaccia GREYVIBE è stato collegato a una serie di cyber attacchi persistenti contro l’Ucraina e contro entità collegate al paese, osservati almeno da agosto 2025. Le analisi indicano un profilo russofono con operatività compatibile con il fuso orario russo e con obiettivi coerenti con interessi di intelligence nel contesto del conflitto russo-ucraino.

Il punto più rilevante è l’uso sempre più evidente di intelligenza artificiale generativa e modelli linguistici per potenziare lo sviluppo di malware e l’esecuzione delle campagne, rendendo più difficile l’attribuzione e più rapido il ciclo di aggiornamento degli strumenti.

Vittime e approccio operativo

Le vittime includono organizzazioni militari, governative, civili e aziende, a dimostrazione di un approccio ampio alla raccolta di informazioni. GREYVIBE avrebbe impiegato vettori differenti per aumentare le probabilità di compromissione, combinando phishing mirato, pagine web ingannevoli e siti esca.

Catene di infezione osservate
  • PhantomMail
    • Email di spear phishing che rimandano ad archivi compressi ospitati su servizi cloud.
    • All’interno: loader in JavaScript, apertura di documenti esca e successiva esecuzione di un trojan di accesso remoto basato su PowerShell.
  • PhantomClick
    • Uso di false pagine CAPTCHA in stile ClickFix.
    • Induce l’utente a eseguire comandi, avviando l’infezione.
  • PrincessClub
    • Siti falsi legati a club per adulti ucraini per distribuire spyware Android e payload Windows.
    • In alcune varianti: funzione di chiamata live basata su WebRTC per catturare audio e video della vittima.
  • DroneLink
    • Imita fondazioni benefiche a supporto delle forze armate ucraine.
  • Nebo
    • Tenta di ingannare personale militare con schermate di login in lingua russa.
Capacità e obiettivi tecnici

Tra le capacità osservate compaiono esfiltrazione di file, screenshot, furto di dati del browser, sottrazione di dati da Telegram e WhatsApp e persino preparazione di accesso remoto tramite RDP.

Ruolo dell’AI nelle operazioni

L’uso di piattaforme di AI per generare immagini, script di offuscamento, componenti di loader, infrastruttura backend e comandi post-compromissione offre vantaggi tattici: colma lacune tecniche, accelera lo sviluppo e riduce la dipendenza da strumenti noti. Tuttavia sono emersi anche errori di progettazione in alcuni componenti, segnale che l’attore potrebbe collocarsi in un’area ibrida tra cybercrime e attività affiliate a uno stato, complicando ulteriormente la threat intelligence e le strategie di difesa.