GREYVIBE: Russlandnahe Hackergruppe setzt KI in allen Phasen ihrer Angriffskette ein

Seit mindestens August 2025 führt die bis dahin undokumentierte Gruppe GREYVIBE anhaltende Angriffe gegen ukrainische Militär-, Regierungs-, Zivil- und Wirtschaftsorganisationen durch. WithSecure-Forscher ordnen die Gruppe als russischsprachig ein, die überwiegend in russischen Zeitzonen operiert und deren Aktivitäten mit Kremler Staatsinteressen – konkret mit Geheimdienstbeschaffung im Kontext des Russland-Ukraine-Kriegs – übereinstimmen.

WithSecure-Forscher Mohammad Kazem Hassan Nejad beschreibt GREYVIBE als „Gruppe mit niedrigem bis moderatem Sophistikationsniveau", die operative Sicherheitsfehler begeht, gleichzeitig aber KI-gestützte Werkzeuge zur Erweiterung ihrer Schadcode-Entwicklung einsetzt. Die genaue Beziehung der Gruppe zum russischen Staat bleibt laut WithSecure unklar: ob Mitglieder in eine staatlich geförderte Gruppe integriert wurden, unabhängig unter staatlicher Leitung operieren oder ein hybrides Team bilden.

GREYVIBE betreibt fünf dokumentierte Angriffsketten mit unterschiedlichen Angriffsvektoren:

**PhantomMail** verbreitet Spear-Phishing-E-Mails, die vorgeben, von ukrainischen Behörden zu stammen – darunter die Kyiver Stadtverwaltung, die Hauptdirektion des Staatlichen Katastrophenschutzes sowie der Staatliche Dienst für Sonderkommunikation. Die E-Mails enthalten Links zu ZIP- und RAR-Archiven, die auf Google Drive und 4sync gehostet sind und JavaScript-basierte Loader enthalten. Die finale Nutzlast ist PhantomRelay, ein PowerShell-basierter Remote-Access-Trojaner (RAT).

**PhantomClick** nutzt gefälschte CAPTCHA-Seiten im ClickFix-Stil auf Domains, die Zoom und LAPAS imitieren. Nutzer werden verleitet, Befehle im Windows-Ausführungsdialog einzufügen, was eine PhantomRelay-Infektionskette einleitet.

**PrincessClub** betreibt gefälschte ukrainischsprachige Erwachsenen-Websites, die auf Android-Geräten FallSpy und auf Windows-Systemen PhantomRelayV1 oder LegionRelay ausliefern. Spätere Versionen der Köderseiten enthielten eine WebRTC-basierte Live-Anruffunktion zur Erfassung von Audio und Video der Opfer.

**DroneLink** tarnt sich als Charity-Website, die vorgibt, die ukrainischen Streitkräfte mit FPV-Drohnen und UAVs zu unterstützen, und liefert WireGuard sowie LegionRelay aus.

**Nebo** ahmt russischsprachige Login-Oberflächen nach – mutmaßlich mit dem Ziel, ukrainisches Militärpersonal zu täuschen, indem der Anschein entsteht, auf ein russisches Militärterminal zuzugreifen.

Die Vielfalt der Angriffsvektoren und Werkzeuge ist laut WithSecure direkt auf den Einsatz von KI-Plattformen zurückzuführen. Die Gruppe nutzt konkret:

- **OpenAI ChatGPT** und **Google Gemini** zur Entwicklung von LegionRelay, Obfuskierungs- und Loader-Skripten, Backend-Infrastruktur sowie Post-Compromise-Befehlen - **Ideogram AI** zur Bildgenerierung für gefälschte Websites

Die WithSecure-Forscher stellen mit moderater Konfidenz fest, dass mehrere der eigenentwickelten Werkzeuge mit LLM-Unterstützung erstellt wurden. LegionRelay sowie die zugehörige Backend-Infrastruktur zeigen laut den Forschern starke Indikatoren für KI-Generierung.

Die drei zentralen Schadprogramme haben folgende Funktionen: **PhantomRelay** ist ein PowerShell-basierter RAT zur Systemprofilierung und Ausführung von Befehlen vom C2-Server. **LegionRelay** ist ein leichtgewichtiger PowerShell-RAT mit Funktionen zur Dateienumerierung, Dateiexfiltration, Screenshot-Erfassung, Browser-Datendiebstahl, Telegram- und WhatsApp-Datenexfiltration sowie RDP-Zugriffs-Setup. **FallSpy** ist eine Android-Spyware, die Kontakte, Anrufprotokolle, installierte Anwendungen, SIM-verknüpfte Telefonnummern, Geräte- und Netzwerkinformationen, WLAN-SSID, letzten bekannten Standort, öffentliche IP-Adresse und Mediendateien abgreift.

Ergänzend setzt GREYVIBE eine Reihe benutzerdefinierter Skripte zur Obfuskierung und zum Laden von Schadcode ein: LOOKVALPS (PowerShell), LOOKVALJS (JavaScript), DAYLIGHT (PowerShell) und TEASOUP (JavaScript).

Nejad beschreibt den strategischen Vorteil des KI-Einsatzes so: „Wenn ein Akteur Komponenten seines operativen Fußabdrucks häufig mit KI-Unterstützung generieren, umgestalten oder ersetzen kann, könnten traditionelle Clustering-Methoden, die auf stabilen technischen Artefakten basieren, mit der Zeit weniger zuverlässig werden."

Der KI-Einsatz hatte auch unbeabsichtigte Folgen: In LegionRelay wurden durch KI-generierte Designfehler Backend-Funktionalitäten offengelegt. Darüber hinaus leistete sich GREYVIBE mehrere operative Sicherheitspannen: Die Gruppe lud frühe Entwicklungs- und Testversionen der Malware auf öffentliche Dienste wie VirusTotal hoch, was Ermittlern ermöglichte, die Entwicklungsschritte nachzuverfolgen. In Infrastruktur-Artefakten wurden Bezeichnungen wie „letsrollboyos", „totallyunsus" und „cuteuwu" gefunden. Zudem wurden auf einer kleinen Anzahl LegionRelay-infizierter Maschinen XMRig-Miner eingesetzt.

WithSecure ordnet GREYVIBE in einen „Graubereich zwischen Cyberkriminalität und staatlich affiliierter Aktivität" ein, was die Zuordnung erschwere und traditionelle Unterscheidungen zwischen diesen Kategorien verwische. Die Verbindungen zum Cyberkriminalitäts-Ökosystem stützen sich auf mehrere Faktoren: möglicher Zugang zu einem ISO-Builder mit mutmaßlichen Verbindungen zur TrickBot-Gruppe und UAC-0098, das Vorhandensein von PhantomRelay-Varianten in scheinbar unabhängigen Cyberkriminalitätsclustern sowie die beschriebenen operativen Fehler, die laut WithSecure für einen reinen staatlichen Akteur ungewöhnlich wären.

WithSecure bewertet mit moderater Konfidenz, dass die Gruppe Verbindungen zum breiteren Cyberkriminalitäts-Ökosystem hat, und mit niedriger bis moderater Konfidenz, dass aktuelle oder ehemalige Cyberkriminelle beteiligt sind.