Der Einsatz von KI beschränkt sich nicht auf die Köder, sondern erstreckt sich auch auf die Entwicklung von Werkzeugen. Die Forscher nennen LOOKVALPS, LOOKVALJS, DAYLIGHT und TEASOUP — allesamt maßgeschneiderte Obfuskatoren, die wahrscheinlich mithilfe großer Sprachmodelle entwickelt wurden.

Auch ein PowerShell-basierter Fernzugriffstrojaner namens LegionRelay wurde laut WithSecure vermutlich mit Unterstützung von KI-Werkzeugen erstellt. LegionRelay ermöglicht Dateidiebstahl, das Anfertigen von Bildschirmfotos, den Diebstahl von Browser-Zugangsdaten, das Abgreifen von Telegram- und WhatsApp-Daten sowie das Einrichten von RDP-Zugängen. Eine weitere Schadsoftware der Gruppe ist PhantomRelay, ebenfalls ein PowerShell-RAT, der Systemerkennung, dynamisches Laden von Skripten sowie die Ausführung von PowerShell- und Windows-Befehlen unterstützt.

In den Kampagnen PrincessClub und Nebo setzten die Angreifer zudem die Android-Spyware FallSpy ein, die ausschließlich zur Informationssammlung konzipiert ist. Sie erfasst Kontaktlisten, Anrufprotokolle, Geräte- und Netzwerkinformationen, Standortdaten, Mediendateien und SIM-Informationen.

WithSecure betont, dass die Aktivität von GreyVibe zwar mit einer staatlich gesteuerten Operation vereinbar sei, dem Akteur aber „das Maß an Raffinesse und operativer Disziplin fehlte, das typischerweise mit ausgereiften staatlichen Akteuren verbunden wird". Hinzu kommt, dass die Schadsoftware PhantomRelay auch im Umfeld der Cyberkriminalität beobachtet wurde, wobei die Forscher diese Nutzung von den staatsnahen Operationen unterscheiden konnten. Daraus schließen sie, dass GreyVibe möglicherweise „aktuelle oder ehemalige cyberkriminelle Akteure" umfasst.

Als Indizien dafür nennen die Forscher die Verwendung eines besonderen ISO-Builders in frühen Test-Samples, der mit einer Gruppe ehemaliger TrickBot-Mitglieder (UAC-0098) in Verbindung steht, die zu Beginn der russischen Invasion die Ukraine ins Visier nahm. Außerdem lud der Akteur Entwicklungs- und Testproben auf eine öffentliche Scan-Plattform hoch, was für staatliche Akteure untypisch ist, und auf einigen Opfersystemen wurde ein Kryptowährungs-Miner installiert.

Offen bleibt laut WithSecure, „ob ehemalige oder aktuelle cyberkriminelle Mitglieder in eine staatlich gestützte Gruppe aufgenommen wurden, unabhängig, aber mit staatlich gelenkten Aufträgen operieren oder ein hybrides Team aus staatsnahen und cyberkriminellen Mitgliedern bilden". Organisationen können sich gegen die Aktivitäten von GreyVibe schützen, indem sie die von WithSecure bereitgestellten Kompromittierungsindikatoren (IoCs) nutzen.