攻撃者はAIを使って攻撃の速度、規模、高度化を向上させている。AIが進化するにつれ、攻撃者の活用方法も進化するだろう。GreyVibeは注目すべき存在だ。
これまで記録されていなかった脅威アクターであるGreyVibeは、WithSecureによってロシアと関連するグループとして説明されている。研究者たちはモスクワ時間帯でロシア語を話すオペレーターへのGreyVibe帰属に確信を持っているが、このグループがサイバー犯罪組織なのか、国家主導なのか、あるいはその混合なのかについては確信が持てていない。
2025年8月以降、ウクライナの軍事、政府、民間、企業組織を標的としているこのグループの主な焦点は、ロシアの国家利益と密接に一致している。一方で、研究者たちはGreyVibeのメンバーの少なくとも一部が、エリートな国家オペレーターとして社会的に最適ではない可能性を示す多数の兆候を検出している。たとえば、初期開発成果物において「letsrollboyos」「totallyunsus」「cuteuwu」などのインターネットスラングに基づく命名規則を使用していることが挙げられる。
GreyVibeが純粋な国家アクターではないことを示唆する別の手がかりは、「偽ウェブサイトの構築や誘導コンテンツの作成から、カスタムマルウェアの開発および侵害後のツール生成まで」と研究者たちが述べるように、活動のあらゆる段階でAIを集中的に使用していることだ。研究者たちのレポートには、難読化やローダースクリプト、侵害後のスクリプトを含むリソース開発も追加されている。これ自体は何も意味しない。すべての悪意ある行為者が攻撃の速度と規模を向上させるためにAIを使用しているからだ。
しかし、研究者たちはIdeogram AI、ChatGPT、Google GeminiなどのトップレベルのAIの使用を検出した一方で、GreyVibeはLLMで生成したLegionRelay Windowsマルウェアに設計上の欠陥を導入していた。ミスはエリートアクターに通常帰属させられるものではない。このミスにより、WithSecureの研究者たちは2025年半ば以降の長期間にわたってGreyVibeの活動を監視・追跡することが可能になった。
このようなミスはエリートな攻撃者には想定されないため、WithSecureのシニア脅威インテリジェンス研究者であるMohammad Kazem Hassan Nejad氏は次のように付け加えている。「GREYVIBEを際立たせているのは高い技術的スキルではなく、AIによって支えられた野心的な作戦だ。このグループは生成AIを使って実力以上の能力を発揮し、開発を加速させ、能力のギャップを埋め、追跡や帰属を複雑にする新鮮な作戦プロフィールを大量に生成している。これは、低度な巧妙さを持つアクターがますますどのように活動するかを示すプレビューだ。」
GreyVibeによる最初の誘導とアプローチは多様であり、AIによって強力に支援されている。スピアフィッシングメール(少なくとも6つの異なるキャンペーン、ただしディープフェイクへの言及なし)は、被害者をGoogle Driveや4syncなどのサードパーティファイル共有サービス上のZIPまたはRARアーカイブに誘導した。これらはユーザーの注意を引くためのおとりファイルを起動すると同時に、バックグラウンドでPhantomRelay(Windowsマルウェア)の感染チェーンを開始させた。
研究者たちがPrincessClubと呼ぶ別のキャンペーンでは、偽のアダルトクラブウェブサイトを使用して、Fallspy(Androidマルウェア)とWindows上のPhantomRelayまたはLegionRelayを配信した。被害者は、TelegramやマッチングサイトでGreyVibeを誘導するために使われた偽の女性ペルソナによってさらに誘い込まれた。
このAIの広範な使用は、GreyVibe内の能力ギャップを補うだけでなく、「以前の活動への歴史的なバックリンク」を減らすことにもなる。要するに、このグループが以前に他の研究者によって別の名前で追跡されていないかどうかを確かめることはできないが、WithSecureはその証拠を見つけていない。
しかし検出されたのは、TrickBotエコシステムとUAC-0098(以前もウクライナを標的にしていたと観測されている元TrickBotメンバーを含む可能性があるアクティビティクラスター)に関連する可能性のある独自のISOビルダーの使用だ。
GreyVibeはまだ活動中であり、そのメンバーは依然として不明だ。今後、AI専門知識は向上し続けると考えられる。「この広範な使用を踏まえると、グループの作戦技術は進化と多様化を続け、継続的な検出、追跡、帰属の複雑さが増すと予想される」とWithSecureは述べている。
これがグループを現在のウクライナへの焦点を超えて活動を拡大させる誘因になるかどうかは、まだわからない。もし本当にロシアの国家活動と密接に連携しているならば、現在の世界的な地政学的状況を踏まえると、それは十分にあり得る話だ。
翻訳元: https://www.securityweek.com/russia-linked-greyvibe-attackers-use-ai-to-supercharge-cyberattacks/
