Peretas GreyVibe menggunakan ChatGPT, Gemini untuk mendukung serangan siber

Kemungkinan besar kelompok ancaman Rusia yang dilacak sebagai GreyVibe telah menggunakan umpan yang dihasilkan AI dan serangkaian alat malware khusus untuk menargetkan entitas di sektor militer, pemerintahan, sipil, dan bisnis.

Kampanye spionase siber telah aktif setidaknya sejak Agustus 2025 dan tampaknya selaras dengan kepentingan negara Rusia, meskipun para peneliti tidak dapat dengan yakin mengklasifikasikannya sebagai operasi negara-bangsa.

Perusahaan keamanan siber WithSecure menemukan aktivitas tersebut pada bulan Januari tahun ini dan menetapkan bahwa fokusnya adalah pada organisasi yang terkait dengan Ukraina atau Ukraina.

Tautan ke pelaku ancaman berbahasa Rusia didukung oleh bahasa untuk panel malware, komentar dalam artefak kode, dan waktu server perintah dan kontrol (C2) yang dikonfigurasi ke UTC+3 (waktu Moskow).

Menurut para peneliti, GreyVibe telah menggunakan beberapa rantai serangan terhadap targetnya, termasuk:

• PhantomMail: Email spear-phishing yang mengirimkan arsip ZIP/RAR berbahaya melalui Google Drive dan tautan 4sync, menggunakan PDF umpan atau kesalahan palsu saat menyebarkan malware. Umpan yang diamati meniru entitas pemerintah, darurat, telekomunikasi, dan energi Ukraina.
• PhantomClick: Halaman CAPTCHA/ClickFix palsu yang disamarkan sebagai situs Zoom dan LAPAS menipu korban agar menjalankan perintah yang menginfeksi diri sendiri melalui perintah verifikasi Cloudflare palsu.
• PrincessClub: Situs web dewasa/kencan palsu Ukraina yang mengirimkan spyware Android FallSpy dan malware Windows PhantomRelay/LegionRelay. Operator menggunakan persona Telegram perempuan palsu dan kemudian menambahkan panggilan langsung berbasis WebRTC yang dapat menangkap audio/video korban.
• DroneLink: Situs web amal militer Ukraina palsu yang bertemakan drone FPV dan UAV berbagi infrastruktur dan peralatan dengan kampanye PrincessClub.
• Nebo: Halaman login komunikasi militer Rusia “СПО НЕБО” palsu kemungkinan besar dirancang untuk mengelabui personel militer Ukraina agar percaya bahwa mereka sedang mengakses terminal militer Rusia.

Keberagaman dan kualitas umpan ini sangat menonjol, dan WithSecure mengatakan ini adalah hasil dari penggunaan beberapa alat AI, termasuk ChatGPT, Ideogram AI, dan Google Gemini, untuk menghasilkan konten yang mendetail dan realistis untuk mendukung umpan tersebut.

Penggunaan AI juga meluas ke pembuatan alat, dengan para peneliti menyebutkan LOOKVALPS, LOOKVALJS, DAYLIGHT, dan TEASOUP, semua obfuscator khusus yang kemungkinan dikembangkan dengan bantuan LLM.

Trojan akses jarak jauh berbasis PowerShell bernama LegionRelay juga kemungkinan besar dikembangkan dengan bantuan alat AI, yaitu kata peneliti.

LegionRelay mendukung pencurian file, pengambilan tangkapan layar, pencurian kredensial browser, eksfiltrasi data Telegram dan WhatsApp, dan pengaturan akses RDP.

Malware lain yang digunakan oleh GreyVibe adalah PhantomRelay, juga merupakan PowerShell RAT. Malware ini mendukung sidik jari sistem, pemuatan skrip dinamis, dan eksekusi perintah PowerShell dan Windows.

Terakhir, para peretas menggunakan spyware FallSpy Android pada kampanye PrincessClub dan Nebo, yang dirancang murni untuk mengumpulkan informasi intelijen.

Malware mengumpulkan daftar kontak, log panggilan, informasi perangkat dan jaringan, data lokasi, file media, dan informasi SIM.

WithSecure mencatat bahwa meskipun aktivitas GreyVibe konsisten dengan operasi negara-bangsa, pelaku ancaman “tidak memiliki tingkat kecanggihan dan disiplin operasional yang biasanya dikaitkan dengan aktor negara-bangsa yang matang.”

Selain itu, malware PhantomRelay juga ditemukan dalam aktivitas kejahatan dunia maya, meskipun para peneliti dapat membedakan penggunaannya dari operasi yang dilakukan oleh negara. Hal ini membuat para peneliti percaya bahwa GreyVibe mungkin mencakup “aktor penjahat dunia maya saat ini atau mantan”.

Beberapa bukti yang menunjuk pada teori ini mencakup penggunaan sampel awal dan pengujian pembuat ISO unik yang terkait dengan sekelompok mantan anggota TrickBot (UAC-0098) yang menargetkan Ukraina pada awal invasi Rusia.

Selain itu, pelaku ancaman mengunggah sampel pengembangan dan pengujian ke platform pemindaian publik, yang tidak biasa dilakukan oleh aktor negara-bangsa. Selain itu, penambang mata uang kripto diterapkan pada beberapa mesin korban.

Para peneliti tidak yakin “apakah mantan atau anggota penjahat dunia maya saat ini telah diserap ke dalam kelompok yang didukung negara, beroperasi secara independen namun dengan penugasan yang diarahkan oleh negara, atau telah membentuk tim gabungan yang melibatkan anggota yang berafiliasi dengan negara dan anggota penjahat dunia maya.”

Organisasi dapat menyiapkan pertahanan terhadap aktivitas jahat GreyVibe dengan menggunakan indikator kompromi (IoC) disediakan oleh WithSecure.