GreyVibeとして追跡されているロシア系とみられる脅威グループが、AIが生成した囮コンテンツと豊富なカスタムマルウェアツール群を使用し、軍事・政府・民間・ビジネス分野の組織を標的にしていることが明らかになった。
このサイバースパイキャンペーンは少なくとも2025年8月から活動しており、ロシアの国家利益に沿った動きを見せているが、研究者たちは国家主導の作戦と断定するには至っていない。
サイバーセキュリティ企業のWithSecureが今年1月にこの活動を発見し、その標的がウクライナまたはウクライナ関連組織に集中していることを突き止めた。
動画プレーヤーで広告が再生中です。マウスまたはキーボードで5秒後にスキップできます
ロシア語話者の脅威アクターとの関連は、マルウェアパネルの使用言語、コード内のコメント、およびUTC+3(モスクワ時間)に設定されたコマンド&コントロール(C2)サーバーの時刻設定によって裏付けられている。
研究者によれば、GreyVibeは標的に対して以下を含む複数の攻撃チェーンを使用している:
- PhantomMail:Google DriveおよびasyncのリンクからZIP/RARアーカイブを配布するスピアフィッシングメール。囮のPDFや偽のエラーを表示しながらマルウェアを展開する。確認された囮はウクライナ政府・緊急機関・通信・エネルギー関連組織になりすましたものだった。
- PhantomClick:ZoomやLAPASサイトに偽装した偽のCAPTCHA/ClickFixページが、Cloudflareの偽認証プロンプトを通じて被害者に自己感染型コマンドを実行させる手口。
- PrincessClub:ウクライナの偽アダルト・出会い系サイトがFallSpy Androidスパイウェアと、PhantomRelay/LegionRelay Windowsマルウェアを配布する。運営者は偽の女性Telegramアカウントを使用し、後に被害者の音声・映像を取得可能なWebRTCベースのライブ通話機能を追加した。
- DroneLink:FPVドローンやUAVをテーマにしたウクライナ軍の偽チャリティサイトで、PrincessClubキャンペーンとインフラおよびツールを共有していた。
- Nebo:偽の「СПО НЕБО」ロシア軍通信ログインページ。ウクライナ軍関係者にロシア軍の端末にアクセスしていると思わせることを目的としていたとみられる。
これらの囮コンテンツの多様性と品質の高さは注目に値する。WithSecureによれば、これはChatGPT、Ideogram AI、Google Geminiなどの複数のAIツールを使用して詳細でリアルなコンテンツを生成した結果だという。
AIの活用はツール開発にも及んでおり、研究者たちはLOOKVALPS、LOOKVALJS、DAYLIGHT、TEASOUPについて言及している。これらはいずれもLLMの支援を受けて開発されたとみられるカスタム難読化ツールである。
LegionRelayと呼ばれるPowerShellベースのリモートアクセス型トロイの木馬も、AIツールの支援を受けて開発された可能性が高いと研究者たちは述べている。
LegionRelayはファイル窃取、スクリーンショット取得、ブラウザ認証情報の窃取、TelegramおよびWhatsAppのデータ流出、RDPアクセスのセットアップをサポートしている。
GreyVibeが使用するもう一つのマルウェアはPhantomRelayで、こちらもPowerShell RATである。このマルウェアはシステムフィンガープリント、動的スクリプトロード、PowerShellおよびWindowsコマンドの実行をサポートしている。
さらに、ハッカーたちはPrincessClubおよびNebeキャンペーンでFallSpy Androidスパイウェアを使用しており、これは純粋に情報収集を目的として設計されたものだ。
このマルウェアは連絡先リスト、通話履歴、デバイスおよびネットワーク情報、位置情報、メディアファイル、SIM情報を収集する。
WithSecureは、GreyVibeの活動は国家主導の作戦と一致しているものの、この脅威アクターは「成熟した国家系アクターに通常関連付けられるレベルの高度な技術と作戦規律を欠いていた」と指摘している。
さらに、PhantomRelayマルウェアはサイバー犯罪活動でも確認されているが、研究者たちはその使用状況を国家に連携した活動と区別することができた。このことから研究者たちは、GreyVibeには「現役または元サイバー犯罪者メンバーが含まれている可能性がある」と考えている。
この説を裏付ける証拠の一つとして、初期サンプルやテストサンプルにおいて、ロシアの侵攻開始時にウクライナを標的にした元TrickBotメンバーのグループ(UAC-0098)に関連する固有のISOビルダーが使用されていたことが挙げられる。
さらに、脅威アクターが開発・テスト用サンプルを公開スキャンプラットフォームにアップロードしていたことも判明しており、これは国家系アクターには一般的ではない行動だ。加えて、一部の被害者マシンには仮想通貨マイナーが展開されていた。
研究者たちは「元または現サイバー犯罪者メンバーが国家支援グループに吸収されたのか、独立して活動しながら国家から指示を受けているのか、あるいは国家関係者とサイバー犯罪者メンバーが混在したハイブリッドチームを形成しているのか」について判断できずにいる。
組織はWithSecureが提供する侵害指標(IoC)を使用することで、GreyVibeの悪意ある活動に対する防御を構築できる。
検証のギャップ:自動ペネトレーションテストが答えられるのは一つの問いだけ。あなたには六つの答えが必要だ。
自動ペネトレーションテストツールは確かな価値をもたらすが、それらは「攻撃者がネットワーク内を横移動できるか」という一つの問いに答えるために作られたものだ。コントロールが脅威をブロックできるか、検知ルールが機能するか、クラウド設定が堅牢かどうかをテストするためには作られていない。
本ガイドでは、実際に検証すべき6つの領域を解説する。
