HackerangriffeMalwareCyberkriminalität

GreyVibe: Russische Hackergruppe nutzt ChatGPT und Gemini für gezielte Cyberangriffe

Von CyberDeutsch Redaktion
GreyVibe: Russische Hackergruppe nutzt ChatGPT und Gemini für gezielte Cyberangriffe
Zusammenfassung

Die russischsprachige Hackergruppe GreyVibe führt seit mindestens August 2025 eine großangelegte Cyberespionage-Kampagne durch, bei der sie künstliche Intelligenz gezielt als Waffe einsetzt. Die Bedrohungsgruppe nutzt ChatGPT, Google Gemini und andere KI-Tools, um täuschend echte Phishing-Köder zu generieren und Custom-Malware zu entwickeln. Hauptziele sind Organisationen mit Verbindung zur Ukraine sowie Einrichtungen aus den Bereichen Militär, Regierung, Zivilsektor und Wirtschaft. WithSecure-Forscher entdeckten die Kampagne im Januar 2026 und identifizierten mehrere hochgradig spezialisierte Malware-Tools wie die Remote-Access-Trojaner LegionRelay und PhantomRelay sowie die Android-Spyware FallSpy. Obwohl die Aktivitäten mit russischen Staatsinteressen übereinstimmen, deuten fehlende operationelle Reife und bestimmte verhaltensbasierte Indikatoren darauf hin, dass GreyVibe möglicherweise aus einer Mischung von staatlichen und früheren Cyberkriminellen-Akteuren besteht. Für deutsche Unternehmen und Behörden ist dieser Fall relevant, da er zeigt, wie Bedrohungsgruppen KI-Technologien zur Automatisierung und Verbesserung von Cyberangriffen missbrauchen – ein Trend, der auch deutsche Organisationen gefährden könnte, insbesondere wenn sie in sicherheitskritischen Sektoren tätig sind.

Die Aktivitäten von GreyVibe offenbaren ein neues Kapitel in der Professionalisierung von Cyberattacken: Die Gruppe nutzt großsprachige Modelle systematisch zur Automatisierung und Verbesserung ihrer Angriffskampagnen. Die Verbindung zu russischen Akteuren wird durch mehrere Indikatoren gestützt – der Malware-Panels sind in Russisch beschriftet, Code-Kommentare deuten auf russischsprachige Entwickler hin, und die Command-and-Control-Server sind auf UTC+3 (Moskauer Zeit) konfiguriert.

Das Malware-Arsenal von GreyVibe ist beeindruckend divers. Der PowerShell-basierte Remote Access Trojan LegionRelay ist in der Lage, Dateien zu stehlen, Screenshots anzufertigen, Browser-Anmeldedaten abzugreifen und WhatsApp- sowie Telegram-Daten zu exfiltrieren. Eine zweite RAT namens PhantomRelay bietet erweiterte Funktionen wie dynamisches Script-Laden und Windows-Befehlsausführung. Für Mobile-Targets kommt FallSpy zum Einsatz – ein Android-Spyware, die Kontaktlisten, Anrufprotokolle, Standortdaten und SIM-Informationen erfasst.

Was die Gruppe technisch von klassischen Nation-State-Akteuren unterscheidet, ist das Fehlen typischer staatlicher Operationsdisziplin. WithSecure-Forscher weisen darauf hin, dass GreyVibe Entwicklungs- und Test-Samples auf öffentliche Scanning-Plattformen hochgeladen hat – ein Anfängerfehler, den etablierte Geheimdienste nicht machen würden. Zudem wurden auf einigen Opfer-Maschinen auch Kryptowährungs-Miner installiert – ein Zeichen auf potenzielle Hybridisierung zwischen staatlichen Auftraggebern und privatem Cyberkriminalismus.

Tatsächlich gibt es Hinweise, dass GreyVibe Verbindungen zu cyberkriminellen Strukturen hat. So wurden Verbindungen zur Gruppe UAC-0098 identifiziert, die aus früheren TrickBot-Mitgliedern besteht. Die WithSecure-Analysten vermuten, dass die Gruppe aus ehemaligen oder aktuellen Cyberkriminellen besteht, die entweder von staatlichen Akteuren absorviert wurden oder mit staatlicher Anleitung operieren.

Für deutsche Organisationen empfehlen Sicherheitsexperten, die von WithSecure veröffentlichten Indicators of Compromise (IoCs) zur Verteidigung zu nutzen. Gleichzeitig sollten Unternehmen ihre Mitarbeiter verstärkt für KI-generierte Phishing-Inhalte sensibilisieren – diese sind zunehmend schwerer zu erkennen als klassische Spear-Phishing-Nachrichten.

Ähnliche Artikel