WithSecureが公開した調査によると、これまで記録されていなかったロシアと繋がりを持つ脅威グループ「GREYVIBE」が、少なくとも2025年8月以降、ChatGPT、Google Gemini、Ideogram AIなどの生成AIツールを武器化し、ウクライナの軍、政府、民間、および企業を標的とした持続的なサイバー攻撃を展開していることが明らかになった。
研究者らは、AIがリアルなフィッシング用の囮コンテンツの生成、偽ウェブサイトの構築、カスタムマルウェアの開発、難読化スクリプトの作成、さらには侵害後のコマンド生成にまで利用されていたことを確認した。
WithSecureのシニア脅威インテリジェンス研究者Mohammad Kazem Hassan Nejad氏は次のように述べている。「GREYVIBEを際立たせているのは、純粋な技術力ではなく、AIによって支えられた野心的な作戦遂行能力だ。
このグループは生成AIを活用して実力以上の成果を上げており、開発を加速し、能力の空白を埋め、追跡や帰属分析を困難にする新たな活動プロファイルを概ね一から生み出している。」
特筆すべき点として、AIの支援がグループ独自のカスタム PowerShellベースのリモートアクセス型トロイの木馬(RAT)「LegionRelay」に重大な設計上の欠陥をもたらしたことが挙げられる。この欠陥により、意図せずバックエンド機能が露出し、WithSecureは数ヶ月にわたってグループの活動を継続的に調査することが可能となった。
これは、低〜中程度の技術力水準を反映している。複数の攻撃ベクターを組み合わせたキャンペーンを展開できる一方で、オペレーションセキュリティ上の失敗を犯しやすい傾向がある。
「PhantomMail」キャンペーンは2025年8月以降、少なくとも6回のスピアフィッシング作戦を実施しており、Google Driveや4syncを経由して悪意のあるZIPおよびRARアーカイブを配布し、ウクライナの政府機関、エネルギー関連組織、緊急サービス機関になりすましている。
「PhantomClick」キャンペーンでは、ZoomやLAPASのウェブサイトを装ったClickFix形式の偽CAPTCHAページを使用し、偽のCloudflareセキュリティ認証プロンプトを通じてウクライナの被害者を騙し、悪意のあるコマンドを実行させた。
最も継続的なキャンペーン「PrincessClub」では、偽のウクライナ向けアダルト・出会い系サイトを展開し、AndroidスパイウェアのFallSpyとWindows用RATを配布した。オペレーターは偽の女性Telegramペルソナを使って被害者との信頼関係を構築した上で、囮サイトへ誘導した。
後の展開では、感染後に起動するWebRTCベースのライブビデオ通話機能まで導入され、偽サイトがハルキウのウクライナ軍戦闘員を標的としたリアルタイムの人的情報収集機構へと変貌した。
さらに2つのキャンペーンが確認されている。ウクライナ軍のドローン支援慈善団体を装った「DroneLink」と、ロシア軍の端末ログインページを偽装した「Nebo」であり、グループの広範な活動の全容を構成している。
グループはキャンペーンを通じて、カスタムツールのファミリーを開発・入れ替えながら運用した。PowerShell RAT「PhantomRelay」はWebSocket C2通信と動的スクリプトローディングを使用している。
2025年8月から活動しているFallSpyは、Androidデバイスから連絡先、通話履歴、GPS位置情報、SIMデータ、メディアファイルを窃取する。
研究者らは、GREYVIBEのメンバーが国家支援の活動に組み込まれているのか、国家主導のタスクのもとで独立して活動しているのか、あるいはハイブリッド型のチームを形成しているのかについて、依然として確証を得られていない。
WithSecureによると、GREYVIBEの活動はロシアの国家的利益と一致しており、オペレーターはロシア語話者であり、UTC+3のモスクワ時間帯で活動していることが確認されている。
しかし、このグループはエリートの国家支援型アクターとは相容れない特徴も示している。たとえば、テスト用マルウェアのサンプルを公開スキャンプラットフォームにアップロードしたり、一部の被害者マシンにXMRig暗号通貨マイナーを展開したり、開発中に「letsrollboyos」「totallyunsus」や「cuteuwu」といったネットスラングに基づく命名規則を使用していることが挙げられる。
さらなる証拠として、グループとより広範なサイバー犯罪エコシステムとの繋がりが示されている。具体的には、TrickBotエコシステムと関連する可能性のある独自のISOビルダーや、旧TrickBotメンバーで構成されウクライナを標的とした活動が以前から観測されているクラスター「UAC-0098」との関連が挙げられる。
WithSecureは、GREYVIBEによるAIの広範な活用は一時的な実験ではなく、技術力の低い脅威アクターが今後ますます採用していくモデルであると警告している。
公開されているAIプラットフォームを活用することで、グループはスキルの不足を補い、開発サイクルを加速し、研究者が帰属分析に用いてきた過去の技術的な痕跡を減少させている。
「このAIの広範な活用を踏まえると、グループの攻撃手法は今後も進化・多様化し続けると予想され、継続的な検知、追跡、帰属分析の複雑さが増す可能性が高い」とWithSecureは述べた。
翻訳元: https://cyberpress.org/greyvibe-chatgpt-gemini/