Un groupe de menace probablement russe, identifié sous le nom de GreyVibe, utilise des leurres générés par intelligence artificielle et un ensemble élaboré d’outils malveillants sur mesure pour cibler des entités des secteurs militaire, gouvernemental, civil et économique.
Cette campagne de cyberespionnage est active depuis au moins août 2025 et semble correspondre aux intérêts de l’État russe, bien que les chercheurs ne puissent pas l’attribuer avec certitude à une opération d’un État-nation.
La société de cybersécurité WithSecure a découvert cette activité en janvier de cette année et a déterminé qu’elle ciblait des organisations ukrainiennes ou liées à l’Ukraine.
Le lien avec un acteur de menace russophone est étayé par la langue utilisée pour les panneaux de contrôle du malware, des commentaires dans le code et l’heure des serveurs de commande et de contrôle configurée sur UTC+3, qui est l’heure de Moscou.
Les chercheurs rapportent que GreyVibe a employé plusieurs chaînes d’attaque contre ses cibles :
- PhantomMail : des courriels de harponnage qui livrent des archives ZIP ou RAR malveillantes via des liens Google Drive et 4sync. Ils utilisent des PDF leurres ou de fausses erreurs pour déployer des logiciels malveillants. Les appâts observés usurpaient l’identité d’entités gouvernementales ukrainiennes, de services d’urgence, de télécommunications et du secteur énergétique.
- PhantomClick : de fausses pages de CAPTCHA ou de réparation de clics déguisées en sites Zoom et LAPAS. Elles trompent les victimes et les amènent à exécuter des commandes d’auto-infection via de faux messages de vérification Cloudflare.
- PrincessClub : de faux sites web ukrainiens pour adultes ou de rencontres qui diffusent le logiciel espion Android FallSpy et les malwares Windows PhantomRelay et LegionRelay. Les opérateurs utilisaient de fausses personnalités féminines sur Telegram et ont ensuite ajouté des appels en direct basés sur WebRTC qui pouvaient capturer l’audio et la vidéo de la victime.
- DroneLink : de faux sites caritatifs sur le thème militaire ukrainien consacrés aux drones FPV et aux UAV partageaient leur infrastructure et leurs outils avec les campagnes PrincessClub.
- Nebo : de fausses pages de connexion pour les communications militaires russes « СПО НЕБО ». Elles étaient probablement conçues pour tromper le personnel militaire ukrainien et lui faire croire qu’il accédait à un terminal militaire russe.
La diversité et la qualité de ces appâts sont élevées. WithSecure indique que ceci est le résultat de l’utilisation de plusieurs outils d’IA, dont ChatGPT, Ideogram AI et Google Gemini, pour générer un contenu détaillé et réaliste.
source : WithSecure
L’utilisation de l’IA s’étend aussi à la création d’outils. Les chercheurs citent LOOKVALPS, LOOKVALJS, DAYLIGHT et TEASOUP, qui sont tous des obfuscateurs personnalisés probablement développés avec l’aide de modèles de langage.
Les chercheurs affirment qu’un cheval de Troie d’accès à distance basé sur PowerShell, nommé LegionRelay, a également vraisemblablement été développé avec l’aide d’outils d’IA.
LegionRelay permet le vol de fichiers, la capture d’écrans, le vol d’identifiants de navigateur, l’exfiltration de données de Telegram et WhatsApp, et la configuration d’un accès par RDP.
Un autre logiciel malveillant utilisé par GreyVibe est PhantomRelay, qui est aussi un RAT PowerShell. Ce malware permet la prise d’empreinte système, le chargement dynamique de scripts, et l’exécution de commandes PowerShell et Windows.
Source : WithSecure
Enfin, les pirates ont employé le logiciel espion Android FallSpy dans les campagnes PrincessClub et Nebo. Ce malware est conçu uniquement pour collecter des renseignements.
Il récolte les listes de contacts, les historiques d’appels, les informations sur l’appareil et le réseau, les données de localisation, les fichiers multimédias et les données de la carte SIM.
WithSecure note que bien que l’activité de GreyVibe corresponde à celle d’une opération d’État-nation, l’acteur de menace « manquait du niveau de sophistication et de la discipline opérationnelle généralement associés aux acteurs étatiques matures ».
De plus, le malware PhantomRelay a été observé dans des activités de cybercriminalité, bien que les chercheurs aient pu distinguer son usage des opérations liées à un État. Cela les amène à penser que GreyVibe pourrait inclure « des acteurs cybercriminels actuels ou anciens ».
Plusieurs éléments soutiennent cette hypothèse, comme l’utilisation, dans des échantillons initiaux de test, d’un constructeur d’images ISO unique associé à un groupe d’anciens membres de TrickBot (UAC-0098) qui avait ciblé l’Ukraine au début de l’invasion russe.
Par ailleurs, l’acteur de menace a téléchargé des échantillons de développement et de test sur une plateforme publique d’analyse, ce qui n’est pas typique des acteurs étatiques. Un mineur de cryptomonnaie a aussi été déployé sur certaines machines victimes.
Les chercheurs ne sont pas certains de savoir « si d’anciens ou actuels membres cybercriminels ont été absorbés par un groupe soutenu par un État, s’ils opèrent de manière indépendante mais avec des missions dirigées par l’État, ou s’ils ont formé une équipe hybride impliquant des membres affiliés à un État et des cybercriminels. »
Les organisations peuvent se protéger contre l’activité malveillante de GreyVibe en utilisant les indicateurs de compromission fournis par WithSecure.