Die Aktivitäten von GreyVibe sind ein Wendepunkt in der modernen Cyberkriminalität. Die Gruppe, der russischsprachige Operatoren in der Moskauer Zeitzone zugeordnet werden, demonstriert, wie weniger technisch versierte Akteure durch den Einsatz von generativer KI zu gefährlichen Gegnern werden. Ironischerweise offenbarten sich die Angreifer durch Designfehler in ihrer KI-generierten Malware – Fehltritte, die von echten Elite-Operatoren nicht zu erwarten wären.
Das Spektrum der genutzten KI-Tools ist beeindruckend breit: Ideogram AI für die Erstellung visueller Lures, ChatGPT und Google Gemini für Skriptentwicklung, Obfuskation und Post-Compromise-Tooling. Besonders bemerkenswert ist die Kombination von klassischen Phishing-Methoden mit KI-gestützten Automatisierungsprozessen. GreyVibe verschickt Spear-Phishing-Emails mit Links zu verschlüsselten Archiven (ZIP/RAR) auf File-Sharing-Services wie Google Drive und 4sync. Während Nutzer ein Köder-Dokument öffnen, lädt sich im Hintergrund PhantomRelay oder LegionRelay ein – beides Windows-Malware.
Eine besonders beunruhigende Kampagne namens PrincessClub setzt auf Social Engineering mit KI-generierten Fake-Profilen. Gefälschte Frauenprofile auf Dating-Plattformen und Telegram locken Opfer auf manipulierte Adult-Club-Websites, von denen aus Fallspy (Android-Malware) oder Windows-Malware verbreitet wird. Dieser Ansatz ist für Sicherheitstools schwer zu erkennen, da er sich von klassischen Enterprise-Angriffen unterscheidet.
Die Forscher von WithSecure haben Verbindungen zur ehemaligen TrickBot-Infrastruktur und zur Hackergruppe UAC-0098 identifiziert – Hinweise, die auf Verbindungen zu erfahreneren russischen Cyberkriminellen deuten. Dies könnte darauf hinweisen, dass GreyVibe von etablierten Netzwerken unterstützt wird.
Für deutsche Organisationen ist das zentrale Risiko die Skalierungsgeschwindigkeit. KI-Tools ermöglichen es GreyVibe, in kürzester Zeit hunderte individualisierte Angriffskampagnen zu starten. Das BSI sollte dringend Warnmeldungen an kritische Infrastrukturen und kritische Unternehmen ausgeben. Besonders im Kontext der DSGVO ist relevant: Eine Kompromittierung führt zu Benachrichtigungspflichten (Art. 33 DSGVO) und potentiellen Bußgeldern.
Die größte Gefahr liegt in der “historischen Dekontaminierung”: GreyVibe hinterlässt weniger digitale Spuren als traditionelle Malware-Gruppen, weil KI-generierte Inhalte sich mit jedem Durchlauf unterscheiden. Das macht Verfolgung und Attribution exponentiell schwieriger.
WhileSecure warnt, dass GreyVibe derzeit noch aktiv ist und seine KI-Expertise zunehmen wird. Sollte die Gruppe ihre Aktivitäten über die Ukraine hinaus ausweiten – etwa auf NATO-Mitglieder wie Deutschland – könnte dies eine ernsthafte Bedrohung für kritische Infrastrukturen darstellen.