Die Zuordnung stammt vom Sicherheitsunternehmen WithSecure, dessen Forscher Mohammad Kazem Hassan Nejad die Gruppe in einer Analyse beschreibt. Demnach nutzt GREYVIBE mehrere Angriffsketten gegen unterschiedliche Ziele und setzt dabei auf selbst entwickelte Obfuskatoren, Loader und Schadsoftware.

„Die Gruppe hat mehrere Angriffsvektoren genutzt, darunter Spear-Phishing-E-Mails, gefälschte Captcha-Seiten und betrügerische ukrainische Webseiten vermeintlicher Erotikclubs, um Malware an ein breites Spektrum von Opfern auszuliefern", erklärt Nejad. Die Bandbreite an Auslieferungswegen und Werkzeugen führt WithSecure auf den Einsatz von KI-Plattformen zurück.

Konkret nennt das Unternehmen Ideogram AI, OpenAI ChatGPT und Google Gemini. Diese sollen beim Erzeugen von Bildern sowie bei der Entwicklung des Schadprogramms LegionRelay, von Obfuskations- und Loader-Skripten, der Backend-Infrastruktur und von Befehlen nach der Kompromittierung geholfen haben.

Nach Einschätzung von WithSecure bietet der KI-Einsatz der Gruppe mehrere Vorteile: Er gleicht Lücken im technischen Fachwissen aus, beschleunigt den Entwicklungszyklus und verringert die Abhängigkeit von bereits bekannter Schadsoftware oder Werkzeugen, die zur Attribution beitragen könnten. „Wenn ein Akteur Bestandteile seiner operativen Spuren mithilfe von KI häufig erzeugen, umschreiben oder ersetzen kann, könnten herkömmliche Clustering-Methoden, die auf stabilen technischen Artefakten beruhen, mit der Zeit an Zuverlässigkeit verlieren", so Nejad.

Der KI-Einsatz hatte allerdings auch eine Kehrseite: Er brachte Konstruktionsfehler in LegionRelay ein und legte damit die Backend-Funktionalität der Malware offen. WithSecure wertet dies als weiteres Indiz, dass GREYVIBE kein reiner staatlicher Akteur sein dürfte, da hochentwickelte Angreifer solche Fehler kaum machen würden.

Trotz der staatsnahen Aktivitäten sieht WithSecure auch Verbindungen zum breiteren russischen Cybercrime-Umfeld — über einige Mitglieder, die als gegenwärtige oder ehemalige Cyberkriminelle gelten. „Insgesamt schätzen wir mit mittlerer Zuversicht ein, dass die Gruppe Verbindungen zum breiteren Cybercrime-Umfeld hat, und mit geringer bis mittlerer Zuversicht, dass gegenwärtige oder ehemalige cyberkriminelle Mitglieder beteiligt sind", erklärt WithSecure. Unklar bleibe das genaue Verhältnis zum russischen Staat — ob solche Mitglieder in eine staatlich gestützte Gruppe übernommen wurden, eigenständig im staatlichen Auftrag operieren oder ein hybrides Team bilden.

„Die Gruppe bewegt sich in einer Grauzone zwischen Cybercrime und staatsnaher Aktivität, was die Attribution erschwert und die herkömmlichen Grenzen zwischen diesen Kategorien verwischt", so das Unternehmen.