Ймовірно російське кібершпигунське угруповання GreyVibe використовує приманки, згенеровані штучним інтелектом, і широкий арсенал власного шкідливого ПЗ для атак на українські військові, державні, цивільні та бізнесові структури.
Кампанію виявила фінська компанія з кібербезпеки WithSecure у січні 2026 року й встановила, що її основною ціллю є українські організації або структури, пов’язані з Україною. За оцінками дослідників, операція триває щонайменше з серпня 2025 року і відповідає інтересам росії, проте однозначно класифікувати її як діяльність державного рівня фахівці поки не можуть.
На зв’язок зловмисників із російськомовним середовищем вказує одразу кілька чинників: мова інтерфейсів панелей керування шкідливим ПЗ, коментарі в програмному коді, а також час на командно-контрольних серверах (C2), налаштований на UTC+3 — московський часовий пояс.
Штучний інтелект як головна зброя угруповання
Найпомітнішою рисою GreyVibe є масштабне використання ШІ. Саме завдяки кільком ШІ-сервісам — серед них ChatGPT, Ideogram AI та Google Gemini — зловмисники створювали детальні й переконливі приманки, різноманітність і якість яких дослідники називають нетиповими для угруповання такого рівня.
Штучний інтелект допомагав не лише з приманками, а й зі створенням інструментів. У WithSecure припускають, що за допомогою великих мовних моделей розроблено чотири власні обфускатори — LOOKVALPS, LOOKVALJS, DAYLIGHT і TEASOUP, — а також троян віддаленого доступу LegionRelay на основі PowerShell.
П’ять сценаріїв зараження
GreyVibe застосовує кілька паралельних ланцюжків атак. У кампанії PhantomMail жертвам розсилають цільові фішингові листи зі шкідливими архівами ZIP або RAR, які поширюються через посилання Google Drive і 4sync; для маскування використовують підроблені PDF-документи або фейкові повідомлення про помилки. Приманки імітували звернення українських державних, екстрених, телекомунікаційних та енергетичних структур.
Ланцюжок PhantomClick спирається на підроблені сторінки CAPTCHA та техніку ClickFix, замасковані під сайти Zoom і LAPAS: фейкова перевірка Cloudflare змушує жертву власноруч запустити команду, яка інфікує її пристрій.
Кампанія PrincessClub використовувала підроблені українські сайти для дорослих і знайомств, через які поширювалося шпигунське ПЗ FallSpy для Android та шкідливі програми PhantomRelay і LegionRelay для Windows. Оператори діяли від імені вигаданих жіночих профілів у Telegram, а згодом додали відеодзвінки на основі WebRTC, що давали змогу перехоплювати аудіо та відео жертви.
Споріднену інфраструктуру й інструментарій із кампанією PrincessClub мала кампанія DroneLink — підроблені сайти українських благодійних зборів на потреби військових, оформлені навколо тематики FPV-дронів і БпЛА. Окремий ланцюжок Nebo імітував сторінки входу до російської системи військового зв’язку «СПО НЕБО»: ймовірно, у такий спосіб зловмисники намагалися переконати українських військових, що ті отримують доступ до російського військового терміналу.
Арсенал шкідливого ПЗ
Троян LegionRelay уміє викрадати файли, робити знімки екрана, красти збережені в браузерах облікові дані, виводити дані з Telegram і WhatsApp та налаштовувати доступ через RDP. Другий PowerShell-троян, PhantomRelay, відповідає за збір відомостей про систему, динамічне завантаження скриптів і виконання команд PowerShell та Windows.
Для мобільного шпигунства в кампаніях PrincessClub і Nebo застосовували FallSpy — шпигунське ПЗ для Android, створене виключно для збору розвідданих. Воно збирає списки контактів, журнали дзвінків, відомості про пристрій і мережу, дані геолокації, медіафайли та інформацію про SIM-картку.
Кіберзлочинці чи державні хакери?
Попри те що дії GreyVibe загалом відповідають державній операції, угрупованню, за оцінкою WithSecure, бракує рівня витонченості й операційної дисципліни, притаманних зрілим державним структурам. До того ж шкідливе ПЗ PhantomRelay раніше фігурувало в суто кіберзлочинній активності, хоча дослідники змогли відрізнити ці випадки від атак, узгоджених із державними інтересами. Це дало підстави припустити, що до складу угруповання можуть входити «нинішні або колишні кіберзлочинці».
На користь цієї версії свідчить кілька деталей. У ранніх і тестових зразках використовувався унікальний інструмент для створення ISO-образів, пов’язаний із групою колишніх учасників TrickBot (UAC-0098), яка атакувала Україну на початку російського вторгнення. Крім того, зловмисники завантажували тестові зразки на публічну платформу для сканування, що нехарактерно для державних хакерів, а на частині заражених машин розгортали криптовалютний майнер.
Дослідники не беруться стверджувати напевне, чи були колишні або чинні кіберзлочинці інтегровані в державну структуру, чи діють самостійно, але за завданнями держави, чи сформували гібридну команду з представників держави та злочинного середовища.
Як захиститися
Щоб виявити сліди активності GreyVibe у власних системах, організаціям радять скористатися індикаторами компрометації (IoC), які оприлюднила WithSecure.
