GREYVIBE: Hacker nutzen ChatGPT und Google Gemini für Cyberangriffe

Forscher eine bisher nicht verfolgte Bedrohungsgruppe, die über mehrere Kampagnen hinweg konsistente Überschneidungen Infrastruktur, Werkzeugen und operativem Verhalten aufweist.

Obwohl keine definitive Zuordnung erfolgt ist, stehen die Aktivitäten der Gruppe stark Einklang mit russischen Staatsinteressen, insbesondere mit Aufklärungszielen Zusammenhang mit dem laufenden Konflikt zwischen Russland und der Ukraine.

Stützende Belege umfassen Artefakte in russischer Sprache, Aktivitätsmuster in der Moskauer Zeitzone sowie Angriffsziele, die ukrainischen Institutionen entsprechen. GREYVIBE missbraucht ChatGPT und Gemini AI.

Sicherheitslage und Risiko

GREYVIBE setzt eine mehrdimensionale Angriffsstrategie ein, bei der Spear-Phishing-E-Mails, gefälschte CAPTCHA-Verifizierungsseiten und betrügerische Webseiten kombiniert werden, Malware zu verbreiten. Spear-Phishing-Kampagnen geben Angreifer ukrainische Regierungsbehörden vor und verteilen schädliche Archive über Cloud-Dienste wie Google Drive.

Diese Payloads führen Ablenkungsdateien aus und initiieren gleichzeitig stumm Infektionsketten mithilfe benutzerdefinierter Loader. Eine weitere auffällige Taktik umfasst gefälschte CAPTCHA-Seiten, die Opfer dazu verleiten sollen, schädliche Befehle unter dem Vorwand ühren.

Darüber hinaus betreibt die Gruppe täuschende „Adult-Club"-Websites, die insbesondere ukrainische Personen, vor allem Militärangehörige, ansprechen.

Sicherheitslage und Risiko

Diese Plattformen liefern nicht nur Malware wie FallSpy für Android und PhantomRelay für Windows aus, sondern führen zudem Engineering durch gefälschte Persönlichkeiten auf Messaging-Plattformen wie Telegram durch. Ein zentrales Ergebnis des Berichts ist die systematische Nutzung über den gesamten Angriffslebenszyklus hinweg.

Berichten zufolge wurden Werkzeuge wie ChatGPT, Google Gemini und Ideogram AI zur Erstellung, zur Entwicklung ützung äten nach der Kompromittierung eingesetzt.

Die Forscher stellten KI-generierte Code-Muster Obfuskatoren und Loadern wie DAYLIGHT und TEASOUP sowie bei der Entwicklung, einem benutzerdefinierten Remote-Access-Trojaner auf PowerShell-Basis, fest. Dieser KI-gestützte Ansatz scheint der Gruppe dabei zu helfen, begrenzte technische Fähigkeiten auszugleichen und die Entwicklungszyklen zu beschleunigen.

Sicherheitslage und Risiko

Zudem verringert er die Abhängigkeit herkömmliche Methoden der Zuordnung. Allerdings hat die reliance der Gruppe auf KI auch Schwachstellen eingeführt: WithSecure identifizierte Designmängel LegionRelay, die Backend-Funktionen offenkundig machten und Forschern ermöglichten, die Aktivitäten der Angreifer Zeitverlauf zu überwachen.

Das Malware-Toolkit, ein modularen RAT, der WebSockets zur Befehlsausführung nutzt, sowie FallSpy, eine Android-Spyware, die sensible Daten wie Kontakte, Standort und Geräteinformationen ausspioniert. LegionRelay erweitert die Fähigkeiten weiter, indem Diebstahl, Erfassung Nachrichten ermöglicht.

Trotz seiner Wirksamkeit zeigt GREYVIBE Anzeichen operativer Unreife. Forscher stellten mangelhafte Sicherheitspraktiken fest, darunter das Hochladen öffentliche Plattformen und inkonsistente Werkzeuge.

Technik und Auswirkungen

Gleichzeitig deuten Überschneidungen mit bekannter Cyberkriminalitätsinfrastruktur auf mögliche Verbindungen zu ehemaligen oder aktuellen Cyberkriminellen hin und lassen ein hybrides Bedrohungsmodell vermuten. Das Aufkommen, wie Generative AI die Bedrohungslage verändert.

Durch die Senkung technischer Hürden und die Ermöglichung einer schnellen Tool-Entwicklung befähigt KI auch nur mittelmäßig qualifizierte Akteure, komplexe Cyber-Operationen durchzuführen, was die Bemühungen Erkennung, Zuordnung und Abwehr erschwert. Abi ist Sicherheitsredakteurin und weitere Reporterin bei