Nuevo grupo GREYVIBE vinculado a Rusia ataca Ucrania con ciberataques potenciados por IA

Un actor de amenazas previamente no documentado, denominado GREYVIBE, ha sido atribuido a ataques persistentes contra Ucrania desde agosto de 2025. Según WithSecure, se trata de un grupo de habla rusa que opera en la zona horaria rusa y cuyas actividades se alinean con los intereses del Kremlin, especialmente en la recopilación de inteligencia en el contexto de la guerra Rusia-Ucrania. El grupo utiliza múltiples vectores de ataque, como phishing, páginas CAPTCHA falsas y sitios web fraudulentos, empleando malware personalizado y aprovechando inteligencia artificial generativa para mejorar sus operaciones.

Un actor de amenazas previamente no documentado, denominado GREYVIBE, ha sido atribuido a ataques persistentes contra entidades ucranianas y relacionadas con Ucrania desde al menos agosto de 2025. Según la empresa de seguridad WithSecure, se evalúa que GREYVIBE es un grupo de habla rusa que opera en la zona horaria rusa, con actividades que se alinean con los intereses estatales del Kremlin, específicamente en lo que respecta a los esfuerzos de recopilación de inteligencia dirigidos a Ucrania en el contexto de la guerra en curso.

El grupo ha aprovechado múltiples vectores de ataque, incluidos correos electrónicos de spear-phishing, páginas CAPTCHA falsas y sitios web fraudulentos de clubes de adultos ucranianos, para distribuir malware a un conjunto diverso de víctimas. En todas estas campañas, el grupo ha dependido de ofuscadores, cargadores y malware desarrollados a medida.

El perfil de las víctimas abarca organizaciones militares, gubernamentales, civiles y comerciales. GREYVIBE, a pesar de su actividad afiliada a un estado-nación, también comparte vínculos con el ecosistema más amplio del cibercrimen ruso a través de algunos de sus miembros que se cree que son actores cibercriminales actuales o anteriores.

Además, hay evidencia que indica que el adversario está utilizando inteligencia artificial generativa (GenAI) y modelos de lenguaje grandes (LLM) para potenciar sus operaciones. En conjunto, WithSecure presenta la imagen de un 'grupo de sofisticación baja a moderada' que comete errores de seguridad operativa y emplea herramientas asistidas por IA para aumentar sus esfuerzos de desarrollo de malware.

Cadenas de ataque observadas

PhantomMail: utiliza correos de spear-phishing para distribuir enlaces a archivos ZIP o RAR maliciosos alojados en Google Drive y 4sync, que contienen cargadores basados en JavaScript para lanzar un documento señuelo y PhantomRelay, un troyano de acceso remoto (RAT) basado en PowerShell.
PhantomClick: emplea páginas CAPTCHA falsas al estilo ClickFix en dominios falsos que suplantan a Zoom y LAPAS para engañar a los usuarios y ejecutar comandos que inician una cadena de infección de PhantomRelay.
PrincessClub: utiliza sitios web falsos de clubes de adultos ucranianos para distribuir FallSpy en Android y PhantomRelayV1 o LegionRelay en Windows, con iteraciones posteriores que introducen una función de llamada en vivo basada en WebRTC para capturar audio y video de la víctima.
DroneLink: emplea sitios web que suplantan a fundaciones benéficas que apoyan a las Fuerzas Armadas de Ucrania para distribuir WireGuard y LegionRelay.
Nebo: utiliza una muestra de FallSpy que imita una pantalla de inicio de sesión en ruso, probablemente para engañar al personal militar ucraniano y hacerle creer que está accediendo a un terminal militar ruso.

Uso de inteligencia artificial

La variedad de vectores de entrega y herramientas utilizadas probablemente se deriva del uso de plataformas de IA, incluyendo Ideogram AI, OpenAI ChatGPT y Google Gemini, para ayudar a generar imágenes y desarrollar LegionRelay, así como scripts de ofuscación y carga, infraestructura backend y comandos posteriores al compromiso.

Si un actor puede generar, refactorizar o reemplazar componentes de su huella operativa con frecuencia con asistencia de IA, los métodos de agrupación tradicionales basados en artefactos técnicos estables pueden volverse menos confiables con el tiempo.

Sin embargo, el uso de IA también ha tenido el efecto secundario de introducir fallos de diseño en LegionRelay, exponiendo la funcionalidad backend del malware. Esto es otra señal que sugiere que GREYVIBE podría no ser un actor puramente estatal, ya que adversarios sofisticados difícilmente cometerían tales errores.

Vínculos con el ecosistema cibercriminal

Posible acceso y uso de un constructor ISO con supuestos vínculos con la banda TrickBot y UAC-0098.
Presencia de variantes de PhantomRelay en grupos de actividad cibercriminal aparentemente no relacionados, como una campaña de vishing de Microsoft Teams entre julio de 2025 y febrero de 2026, y una cadena de entrega de KongTuke entre finales de febrero y finales de marzo de 2026 que utilizó ClickFix para distribuir el malware.
Subida de muestras tempranas de desarrollo y prueba a VirusTotal.
Uso de términos de jerga de internet como 'letsrollboyos', 'totallyunsus' y 'cuteuwu' como convenciones de nomenclatura para artefactos de desarrollo.
Despliegue del minero XMRig en un pequeño número de máquinas infectadas con LegionRelay.

En conjunto, evaluamos con confianza moderada que el grupo tiene vínculos con el ecosistema cibercriminal más amplio, y con confianza baja a moderada que involucra a miembros cibercriminales actuales o anteriores. La naturaleza exacta de su relación con el estado ruso sigue sin estar clara, ya sea que dichos miembros hayan sido absorbidos por un grupo respaldado por el estado, operen de forma independiente bajo tareas dirigidas por el estado, o hayan formado un equipo híbrido.

El grupo ocupa un área gris entre el cibercrimen y la actividad afiliada al estado, lo que complica los esfuerzos de atribución y desdibuja las distinciones tradicionales entre estas categorías.