Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Erweiterte, anhaltende Bedrohung (APT) GREYVIBE-Bedrohungsakteur

GREYVIBE-Bedrohungsakteur

Von Mezo in Erweiterte, anhaltende Bedrohung (APT), Malware
Übersetzen Sie in:

Ein bisher unbekannter Akteur namens GREYVIBE wird mit einer anhaltenden Cyber-Spionagekampagne in Verbindung gebracht, die sich seit mindestens August 2025 gegen die Ukraine und mit dem Land verbundene Organisationen richtet. Analysen deuten darauf hin, dass die Gruppe hauptsächlich in der russischen Zeitzone operiert und auf Russisch kommuniziert. Ihre Aktivitäten decken sich weitgehend mit den Interessen des russischen Staates, insbesondere mit den Bemühungen zur Informationsbeschaffung im Zusammenhang mit dem andauernden russisch-ukrainischen Konflikt.

GREYVIBE hat ein breites Spektrum an Sektoren ins Visier genommen, darunter militärische Einrichtungen, Regierungsbehörden, zivile Organisationen und private Unternehmen. Obwohl die Operationen der Gruppe Merkmale aufweisen, die mit Aktivitäten von Nationalstaaten in Verbindung gebracht werden, deuten Beweise auch auf Verbindungen zur breiteren russischen Cyberkriminalitätsszene hin, und zwar über Personen, die mutmaßlich aktuelle oder ehemalige Cyberkriminelle sind.

Vielfältige Infektionsmethoden und ein Arsenal an maßgeschneiderter Malware

Der Angreifer nutzt verschiedene Methoden, um Opfer zu kompromittieren. Dazu gehören gezielte Spear-Phishing-Kampagnen, irreführende CAPTCHA-Verifizierungsseiten und betrügerische, ukrainisch angehauchte Erotik-Websites. GREYVIBE setzt dabei konsequent auf intern entwickelte Malware, Loader und Verschleierungswerkzeuge, um unentdeckt zu bleiben und den Zugriff auf kompromittierte Systeme aufrechtzuerhalten.

Es wurden mehrere unterschiedliche Angriffsstrategien beobachtet:

  • PhantomMail verbreitet schädliche ZIP- und RAR-Archive über Spear-Phishing-E-Mails mit Links zu Google Drive und 4sync. Diese Archive enthalten JavaScript-Loader, die gefälschte Dokumente öffnen und gleichzeitig PhantomRelay installieren, einen PowerShell-basierten Remote-Access-Trojaner (RAT), der Systemaufklärung und die Ausführung von Remote-Befehlen ermöglicht.
  • PhantomClick nutzt gefälschte CAPTCHA-Seiten im ClickFix-Stil, die auf Domains gehostet werden, die Dienste wie Zoom und LAPAS imitieren. Opfer werden dazu manipuliert, Befehle auszuführen, die die PhantomRelay-Infektionskette auslösen.
  • PrincessClub nutzt gefälschte ukrainische Erotik-Websites, um die Spyware FallSpy auf Android-Geräten und entweder PhantomRelayV1 oder LegionRelay auf Windows-Systemen zu verbreiten. Spätere Versionen dieser Websites integrierten eine WebRTC-basierte Live-Anruffunktion, um Audio und Video der Opfer aufzuzeichnen. FallSpy kann sensible Daten von infizierten Android-Geräten sammeln, während LegionRelay das Aufspüren von Dateien, Datendiebstahl, das Erstellen von Screenshots, das Auslesen von Browser-Zugangsdaten, das Sammeln von Daten über Telegram und WhatsApp sowie die Konfiguration des Remote Desktop Protocol (RDP) ermöglicht. PhantomRelayV1 erweitert das ursprüngliche PhantomRelay um einen benutzerdefinierten Überwachungsmechanismus.
  • DroneLink gibt sich als Wohltätigkeitsorganisation aus, die die Streitkräfte der Ukraine unterstützt, und bietet WireGuard zusammen mit LegionRelay an.
  • Nebo setzt eine FallSpy-Variante ein, die als russischsprachiges Anmeldeportal getarnt ist und wahrscheinlich ukrainisches Militärpersonal in dem Glauben wiegen soll, es greife auf ein legitimes russisches Militärsystem zu.

Künstliche Intelligenz als Kraftverstärker

Ein besonders auffälliges Merkmal der Vorgehensweise von GREYVIBE ist die offensichtliche Nutzung generativer künstlicher Intelligenz und großer Sprachmodelle zur Verbesserung der offensiven Fähigkeiten. Es gibt Hinweise darauf, dass die Gruppe Plattformen wie Ideogram AI, OpenAI ChatGPT und Google Gemini eingesetzt hat, um Bilder zu generieren, Malware zu entwickeln, Skripte zu verschleiern, Backend-Infrastruktur zu erstellen und Operationen nach einem erfolgreichen Angriff durchzuführen.

Dieser KI-gestützte Ansatz bietet mehrere operative Vorteile. Er hilft, technische Kompetenzlücken auszugleichen, beschleunigt Entwicklungszyklen und verringert die Abhängigkeit von zuvor identifizierten Malware-Familien und Tools, die die Zuordnung erleichtern könnten.

Der zunehmende Einsatz von KI in Cyberoperationen stellt eine erhebliche Herausforderung für die Verteidigung dar. Angreifer können Komponenten ihrer Werkzeugsätze schnell generieren, modifizieren oder ersetzen, wodurch die Wirksamkeit traditioneller Zuordnungsmethoden, die auf stabilen technischen Indikatoren und wiederkehrenden Malware-Artefakten beruhen, reduziert wird.

Operative Schwächen offenbaren Entwicklungslücken

Trotz KI-gestützter Entwicklung wies GREYVIBE mehrere Sicherheitslücken auf. Forscher identifizierten Designfehler in LegionRelay, die unbeabsichtigt Backend-Funktionen offenlegten und so Einblicke in die internen Abläufe der Malware ermöglichten.

Derartige Fehler sind bei hoch entwickelten, staatlich geförderten Akteuren generell selten, was darauf hindeutet, dass GREYVIBE möglicherweise keine traditionelle Geheimdienstoperation darstellt. Vielmehr scheint die Gruppe über ein niedriges bis mittleres technisches Know-how zu verfügen und nutzt KI-Technologien, um ihre Fähigkeiten über ihr ursprüngliches Kompetenzniveau hinaus zu erweitern.

Indikatoren für Verbindungen zu Cyberkriminellen

Mehrere Erkenntnisse deuten darauf hin, dass GREYVIBE Verbindungen zum breiteren russischen Cyberkriminalitäts-Ökosystem unterhält:

  • Zugang zu oder Nutzung eines ISO-Building-Tools, das im Verdacht steht, Verbindungen zur TrickBot-Gang und UAC-0098 zu haben.
  • Erkennung von PhantomRelay-Varianten innerhalb scheinbar unabhängiger Cyberkriminalitätskampagnen, darunter Microsoft Teams Voice-Phishing-Operationen, die zwischen Juli 2025 und Februar 2026 durchgeführt wurden, und KongTuke-Zustellungskampagnen, die zwischen Februar und März 2026 beobachtet wurden und ClickFix-Techniken einsetzten.
  • Uploads von Prototypen aus der frühen Entwicklungs- und Testphase.
  • Verwendung von informellem Internet-Slang wie 'letsrollboyos', 'totallyunsus' und 'cuteuwu' in den Namenskonventionen für Entwicklungsartefakte.
  • Einsatz des Kryptowährungs-Miners XMRig auf einer begrenzten Anzahl von Systemen, die mit LegionRelay infiziert sind.

Diese Indikatoren stützen die Einschätzung mit mittlerem Vertrauen, dass GREYVIBE sinnvolle Verbindungen zu Cyberkriminellen-Netzwerken unterhält, sowie die Einschätzung mit niedrigem bis mittlerem Vertrauen, dass einige Mitglieder aktuell oder in der Vergangenheit an Cyberkriminalität beteiligt waren.

Verschwimmen der Grenze zwischen staatlichen und kriminellen Operationen

Die genaue Natur der Beziehung von GREYVIBE zum russischen Staat ist weiterhin unklar. Es gibt mehrere Möglichkeiten, darunter die Integration von Cyberkriminellen in eine staatlich unterstützte Organisation, unabhängige Akteure, die staatlich gelenkte Aufgaben ausführen, oder die Bildung einer hybriden Struktur, die kriminelle und staatsnahe Elemente vereint.

GREYVIBE nimmt daher eine komplexe Stellung zwischen traditioneller Cyberkriminalität und staatlich gesteuerten Cyberoperationen ein. Diese Überschneidung erschwert die Zuordnung und verdeutlicht die zunehmend verschwimmenden Grenzen zwischen finanziell motivierter Cyberkriminalität und staatlich geförderten Geheimdienstoperationen.

Im Trend

Am häufigsten gesehen

Wird geladen...