調査
研究者らによると、「GREYVIBE」グループはウクライナの軍および政府を標的としたキャンペーン全体にわたってAIツールを使用していたという
ロシアと関連するサイバースパイグループが、ウクライナを標的とした攻撃においてマルウェアの構築、インフラの立ち上げ、おとりコンテンツの作成にAIツールを活用しているとみられる。
WithSecureの研究者らによると、これまで記録されていなかった脅威グループ「GREYVIBE」が、ウクライナを標的とした活動のほぼ全段階にわたって、OpenAIのChatGPT、GoogleのGemini、およびIdeogram AIを使用していることが明らかになった。このキャンペーンは少なくとも2025年8月以降、ウクライナの軍、政府、民間、および企業組織を攻撃している。
報告書によると、GREYVIBEはスピアフィッシングメール、偽のCAPTCHAページ、ウクライナの成人向けクラブを装った偽サイトを使って被害者をマルウェアのインストールへと誘導している。研究者らは、この活動をモスクワ時間帯で活動するロシア語話者のオペレーターと関連付けており、ロシアの諜報機関の利害と一致する標的を追っていたとしている。
しかし研究者らの注目を集めたのは、AIがこの作戦全体に深く組み込まれている程度であった。
WithSecureは、GREYVIBEがおとりの作成、マルウェアの生成、インフラのセットアップ、難読化ツール、および侵害後の活動に組織的にAIツールを活用していたという「強力な証拠」を発見したと述べた。同社は、このグループのAI利用は「孤立した実験的なものではなく、運用に統合されたもの」であると評価した。
「GenAIおよびLLMの広範な活用は、同グループの手口における注目すべき側面である」と、WithSecureのシニア脅威インテリジェンス研究者Mohammad Kazem Hassan Nejad氏は述べた。
「GREYVIBEはAIを単独の開発タスクだけでなく、複数の作戦フェーズにわたって活用しているようだ。これにより、同グループは能力面のギャップを補い、開発サイクルを加速させ、過去の活動への遡及的な痕跡を減らせる可能性がある。」
こうしたAIツールの活用にもかかわらず、GREYVIBEはサイバースパイの理想的なチームとは程遠い印象を与える。WithSecureによると、オペレーターは繰り返し作戦上のセキュリティミスを犯し、マルウェアを公開サービスにアップロードし、「letsrollboyos」「totallyunsus」「cuteuwu」といった名前の開発成果物を残していたという。
特に皮肉な自爆事例として、研究者らは、LLMの支援によって開発されたと疑われるGREYVIBEのLegionRelayマルウェアの設計上の欠陥が、バックエンドインフラの一部を露出させ、長期間にわたって活動を監視することを可能にしたと述べている。
このレポートは、AIがサイバーオペレーターの新世代エリートを生み出すのか、それとも既存の犯罪者をより迅速かつ生産的にするだけなのかについて、セキュリティベンダーが議論を続ける中で発表された。GREYVIBEは明らかに後者のカテゴリに近い。®
