WithSecure ordnet GreyVibe als russland-nahen Akteur ein und stützt die Zuschreibung auf russischsprachige Betreiber in der Moskauer Zeitzone. Offen bleibt, ob die Gruppe cyberkriminell, staatlich oder beides ist. Für eine nicht rein staatliche Herkunft sprechen aus Sicht der Forscher mehrere Hinweise – darunter Namenskonventionen aus dem Internet-Slang in frühen Entwicklungsartefakten wie „letsrollboyos", „totallyunsus" und „cuteuwu".
Auffällig ist der durchgängige KI-Einsatz über alle Phasen hinweg, einschließlich der Ressourcenentwicklung mit Verschleierungs- und Loader-Skripten sowie Skripten für die Phase nach der Kompromittierung. Das allein sage wenig aus, betonen die Forscher, da praktisch alle Akteure KI nutzen, um Tempo und Reichweite ihrer Angriffe zu erhöhen.
Die Forscher beobachteten den Einsatz hochwertiger KI-Dienste, darunter Ideogram AI, ChatGPT und Google Gemini. Allerdings baute GreyVibe Konstruktionsfehler in seine per Sprachmodell erzeugte Windows-Malware LegionRelay ein. Solche Fehler werden Elite-Akteuren üblicherweise nicht zugeschrieben – und gerade dieser Fehler erlaubte es WithSecure, die Aktivitäten von GreyVibe über einen längeren Zeitraum seit Mitte 2025 zu verfolgen.
Mohammad Kazem Hassan Nejad, Senior Threat Intelligence Researcher bei WithSecure, fasst es so: Was GreyVibe auszeichne, sei nicht rohes technisches Können, sondern operative Ambition, befeuert durch KI. Die Gruppe nutze generative KI, um über ihrem Gewicht zu agieren, Entwicklung zu beschleunigen, Fähigkeitslücken zu schließen und ein weitgehend frisches operatives Profil zu erzeugen, das Verfolgung und Zuschreibung erschwere. Das sei eine Vorschau darauf, wie weniger versierte Akteure zunehmend vorgehen würden.
Die Köder und Erstzugänge sind vielfältig und stark KI-gestützt. In mindestens sechs verschiedenen Spear-Phishing-Kampagnen wurden Opfer auf ZIP- oder RAR-Archive bei Drittanbieter-Diensten wie Google Drive und 4sync geleitet. Diese öffneten eine Köderdatei, um die Aufmerksamkeit des Nutzers zu binden, während im Hintergrund eine Infektionskette der Windows-Malware PhantomRelay startete.
Eine gesonderte Kampagne, die WithSecure PrincessClub nennt, nutzte gefälschte Websites von Erotik-Clubs, um die Android-Malware Fallspy sowie PhantomRelay oder LegionRelay unter Windows auszuliefern. Opfer wurden zusätzlich über gefälschte weibliche Personas auf Telegram oder Dating-Seiten herangeführt.
Der umfangreiche KI-Einsatz gleicht nicht nur Fähigkeitslücken aus, sondern reduziert auch historische Verbindungen zu früheren Aktivitäten. WithSecure fand keine Belege dafür, dass die Gruppe zuvor unter anderem Namen verfolgt wurde. Entdeckt wurde jedoch der Einsatz eines spezifischen ISO-Builders, der möglicherweise mit dem TrickBot-Umfeld und dem Aktivitätscluster UAC-0098 in Verbindung steht – Letzteres umfasst vermutlich ehemalige TrickBot-Mitglieder, die ebenfalls bereits gegen die Ukraine beobachtet wurden.
GreyVibe ist weiterhin aktiv, die Mitglieder sind unbekannt. WithSecure erwartet, dass sich die Vorgehensweise der Gruppe weiterentwickelt und diversifiziert und damit kontinuierliche Erkennung, Verfolgung und Zuschreibung komplexer werden.
