WithSecureは、Greyvibeグループがロシアの情報収集活動の一環としてウクライナの組織を標的にするため、LLMを使用してカスタムマルウェア、バックエンドインフラ、フィッシングの誘い文句を生成したと結論付けています。
研究者たちは、ウクライナの民間・政府・軍事組織に対する攻撃において、大規模言語モデル(LLM)を広範に活用する、これまで記録されていなかったロシアのグループを発見しました。このグループは、進行中の戦争における情報収集を目的として、カスタムマルウェアとともに様々な攻撃手法を駆使しています。
WithSecureの研究者によって「Greyvibe」と名付けられたこのグループは、スピアフィッシングの誘い文句や悪意あるスクリプトの作成から、本格的なマルウェア開発やバックエンドインフラの構築に至るまで、作戦のあらゆる段階で生成AIを組織的に活用していることが明らかになりました。
「この活動はロシアの国家利益と合致していますが、いくつかの観測された指標から、このグループはより広いサイバー犯罪エコシステムとつながりを持ち、現役または元サイバー犯罪者が関与している可能性があることが示唆されます」と、WithSecureの研究者たちは報告書の中で述べています。
変化する攻撃ベクター
Greyvibeの最初のキャンペーンは2025年8月に開始され、キーウ市、国家非常事態総局、国家特別通信情報保護局などのウクライナ政府機関を装った一連のスピアフィッシングメールが送付されました。
メールにはGoogle DriveおよびDriveと4syncというサービスにホストされたZIPおよびRARアーカイブへのリンクが含まれており、PythonとJavaScriptで書かれたマルウェアローダーが内包されていました。最終的なペイロードは、WithSecureの研究者が「PhantomRelay」と名付けた、グループが独自に開発したカスタムマルウェアプログラムでした。
10月に行われた別の攻撃では、グループは偽のCloudFlare CAPTCHAページを使ったClickFix方式の攻撃を試みました。これらの攻撃は、ユーザーにWindowsの「ファイル名を指定して実行」ダイアログを開き、悪意あるコマンドを貼り付けるよう指示するものでした。
Greyvibeはまた、ウクライナ語の偽アダルトクラブサイトや、FPVドローンおよびUAVでウクライナ軍を支援すると主張する偽慈善団体のウェブサイトも開設しました。これらの攻撃により、Androidデバイス向け(FallSpy)とWindows向け(PhantomRelayおよびLegionRelay)の複数のマルウェアが配布されました。
研究者たちはまた、グループの活動の一部と見られるロシア語のウェブサイトも追跡しました。そのサイトには、ロシア軍が一般的に使用する安全な通信用のハードコードされた電話交換番号が記載されていました。
「この活動の標的となったのが誰なのかは依然として不明です」と研究者たちは述べています。「しかし、最も有力な仮説は、ウクライナの軍人にロシア軍のターミナルへのアクセスという幻想を見せることで欺くために、この誘い文句が設計されたというものです。」
LLMを使用して開発されたカスタムマルウェア
PhantomRelayマルウェアプログラムは、コマンド&コントロール(C2)サーバーから受信した追加のカスタムスクリプトを実行できるPowerShellで書かれたリモートアクセス型トロイの木馬(RAT)です。このプログラムの亜種はGreyvibe以外の活動でも観測されていますが、グループはこのツールを完全に書き直し、自らの活動にのみ使用するバージョンを作成しました。
LegionRelayは同様にC2サーバーからコマンドやスクリプトを受信して実行できる、PowerShellベースの別のRATです。ファイルの列挙、ファイルの流出、スクリーンショットのキャプチャ、ブラウザデータの窃取、TelegramおよびWhatsAppのデータ流出、RDPアクセスの設定、その他の操作に使用されます。
FallSpyは、連絡先、通話履歴、インストール済みアプリの一覧、SIMに紐付けられた電話番号、デバイスおよびネットワーク情報、Wi-Fi SSID、端末の最終既知位置情報、パブリックIPアドレス、メディアファイルを窃取できるAndroidスパイウェアプログラムです。
また、マルウェアを難読化して読み込むための一連のカスタムスクリプトも観測されました:LOOKVALPS(PowerShell)、LOOKVALJS(JavaScript)、DAYLIGHT(PowerShell)、TEASOUP(JavaScript)です。
WithSecureの研究者たちは、中程度の確信をもって、これらのカスタムツールのいくつかがLLMの助けを借りて開発されたと判断しました。特にLegionRelayと、それを提供するバックグラウンドインフラは、AI生成の強い兆候を示しています。研究者たちは、攻撃者が使用したプラットフォームの一部にIdeogram AI、ChatGPT、Google Geminiが含まれると考えています。
「Greyvibeは、AIを単独の開発タスクのみに使用するのではなく、複数の作戦フェーズにわたって使用しているようです」と研究者たちは述べています。「これにより、グループは能力のギャップを補い、開発サイクルを加速させ、過去の活動へのバックリンクを潜在的に減らすことができると考えられます。この広範な使用を踏まえると、グループの技術は進化と多様化を続け、継続的な検出・追跡・帰属の複雑さが増すことが予想されます。」
