Die neu dokumentierte Hackergruppe GREYVIBE stellt ein Beispiel dar, wie moderne staatlich geförderte Cyberangreifer Künstliche Intelligenz zur Steigerung ihrer Operationen einsetzen. Laut der WithSecure-Analyse unter der Leitung des Forschers Mohammad Kazem Hassan Nejad operiert die Gruppe im Kontext des andauernden Krieges und verfolgt russische Staatsinteressen, insbesondere bei der Geheimdienstbeschaffung gegen die Ukraine.
Die Angriffsmethoden sind vielfältig: GREYVIBE nutzt Spear-Phishing-E-Mails, gefälschte CAPTCHA-Seiten und betrügerische Webseiten ukrainischer Erwachsenenclubs als Einfallstore. Die Malware wird durch selbstentwickelte Verschleierungstools und Loader verteilt. Das Opferspektrum reicht von Militär über Regierungsbehörden bis hin zu privaten Unternehmen.
Ein Kernmerkmal der GREYVIBE-Operationen ist die Integration von KI-Plattformen in den Entwicklungsprozess. Die Gruppe nutzt ChatGPT, Google Gemini und Ideogram AI nicht nur zur Bildgenerierung, sondern auch zur Entwicklung von Malware-Komponenten wie LegionRelay, Verschleierungsskripten und Backend-Infrastruktur. Diese AI-gestützte Herangehensweise bietet erhebliche Vorteile: Sie überbrückt technische Wissenslücken, beschleunigt die Entwicklung und reduziert die Abhängigkeit von bekannten Malware-Signaturen, was Attributionsbemühungen erschwert.
Alledings hat der KI-Einsatz auch Schwachstellen mit sich gebracht. Die LegionRelay-Malware enthält Design-Fehler, die die Backend-Funktionalität offenlegen — ein Zeichen mangelnder operativer Sicherheit, das darauf hindeutet, dass GREYVIBE keine vollständig staatliche Hochleistungsgruppe ist. WithSecure bewertet die Gruppe als “gering bis moderat sophistiziert”.
Besonders relevant ist die Verbindung zur breiteren russischen Cybercrime-Ecosystem. Mehrere Mitglieder gelten als aktuelle oder ehemalige Cyberkriminelle. WithSecure konstatiert mit mittlerer Sicherheit, dass Beziehungen zur Cybercrime-Szene bestehen, die genaue Natur zur russischen Staatlichkeit bleibt aber unklar: Wurden Kriminelle absorbiert, operieren sie unter staatlicher Weisung, oder bilden sie ein Hybrid-Team?
Diese Grauzone zwischen Cyberkriminalität und staatlicher Aktivität erschwert traditionelle Attribution erheblich. Für deutsche Sicherheitsbehörden und Unternehmen mit kritischer Infrastruktur bedeutet dies: GREYVIBE-ähnliche Gruppen könnten auch gegen europäische Ziele aktiv werden, insbesondere wenn diese Ukraine-Support leisten oder militärisch-strategische Bedeutung haben.