С августа 2025 года специалисты компании WithSecure наблюдают устойчивую активность неизвестной ранее хакерской группы, нацеленной на украинские организации и связанные с ними структуры. Исследователи обозначили группировку как GREYVIBE и пришли к выводу, что её действия соответствуют интересам российского государства, особенно в контексте сбора разведывательных данных о ходе войны. При этом эксперты отметили необычное сочетание признаков: операторы группы допускают множество ошибок в операционной безопасности, активно применяют генеративный искусственный интеллект и одновременно демонстрируют связи с киберпреступной средой.
Описание
Группировка использует как минимум четыре различных вектора атаки. Первый - классический целевой фишинг через электронную почту. Жертвам рассылают письма со ссылками на вредоносные ZIP- или RAR-архивы, размещённые на легитимных файлообменниках вроде Google Drive и 4sync. Внутри архивов находятся загрузчики на базе PyInstaller или JavaScript, которые сначала открывают безобидный PDF-документ или окно с ошибкой, а затем запускают в фоне цепочку заражения вредоносной программой PhantomRelay. Поддельные письма маскировались под сообщения от имени чиновника Киевского городского совета, украинской энергетической компании, Главного управления Государственной службы Украины по чрезвычайным ситуациям и Государственной службы специальной связи и защиты информации Украины.
Второй вектор - так называемые фейковые CAPTCHA-страницы, которые появились в начале октября 2025 года. Злоумышленники создавали сайты, похожие на страницы проверки Zoom или латвийской платформы сотрудничества LAPAS. Посетителю предлагали на украинском языке выполнить несколько команд в терминале якобы для подтверждения, что он не робот, используя логотип Cloudflare. На деле команда запускала тот же самый PhantomRelay. После выполнения скрипта происходило перенаправление на настоящий сайт, чтобы жертва ничего не заподозрила.
Третий и, пожалуй, самый изобретательный вектор - фейковые сайты украинских клубов для взрослых. Эту кампанию исследователи назвали PrincessClub. Поддельные сайты предлагали скачать клиенты для Android или Windows. На мобильных устройствах устанавливался шпионский софт FallSpy, на компьютерах - PhantomRelay или LegionRelay. Среди подтверждённых жертв оказались украинские военнослужащие, многие из которых находились в Харькове. Для привлечения посетителей злоумышленники использовали фейковые женские аккаунты в Telegram, в том числе в местных чатах знакомств. Они втирались в доверие, а затем отправляли ссылку на сайт или вредоносный файл. Позднее на сайтах появилась функция видеозвонка через WebRTC, которая активировалась только после заражения устройства. Таким образом злоумышленники могли захватывать аудио- и видеопоток с камеры жертвы, превращая статичную страницу в инструмент сбора разведданных.
Четвёртая связанная активность - благотворительные сайты якобы в поддержку Вооружённых сил Украины, собирающие деньги на дроны. Эту кампанию WithSecure отслеживает отдельно под названием DroneLink. Она использует ту же инфраструктуру управления и те же инструменты, что и PrincessClub, включая WireGuard, ZAPiXDESK и загрузчики LegionRelay с обфускатором DAYLIGHT.
Особый интерес вызывает небольшая группа артефактов, названная "СПО НЕБО". Это поддельная страница входа в российскую систему защищённой связи, на которой пользователю предлагали ввести логин и пароль. Скорее всего, ловушка была рассчитана на украинских военных, которым показывали иллюзию доступа к российскому военному терминалу.
Одной из самых примечательных особенностей GREYVIBE оказалось активное использование генеративного ИИ и больших языковых моделей на всех этапах атаки. Эксперты нашли следы применения Ideogram AI, ChatGPT и Google Gemini. С помощью нейросетей создавались изображения для сайтов PrincessClub, разрабатывались коды обфускаторов и загрузчиков, а также генерировались команды и скрипты для пост-компрометационного этапа. Вместе с тем исследователи подчёркивают, что группировка обладает низким или средним уровнем технической сложности. Операторы неоднократно допускали ошибки, которые позволили WithSecure получить доступ к части бэкенда их собственного вредоноса LegionRelay и наблюдать за активностью в течение длительного времени.
В отчёте WithSecure подробно описывает, как именно были обнаружены эти недостатки. Оказалось, что LegionRelay - лёгкий PowerShell-агент, который общается с сервером через REST API. Код клиента очень прост, но возможности расширяются за счёт скриптов, которые операторы отправляют на заражённые машины. Среди выполняемых действий - сбор файлов, кража данных из браузеров, Telegram и WhatsApp, захват скриншотов, настройка удалённого рабочего стола RDP. Примечательно, что на некоторых заражённых машинах был развёрнут майнер криптовалюты XMRig, что больше характерно для киберпреступников, чем для государственных хакеров.
Атрибуция оказалась сложной. С одной стороны, все операторы работают в часовом поясе Москвы (UTC+3), оставляют русскоязычные комментарии в коде, а панели управления вредоносами выполнены на русском языке. Активность приходится на рабочие часы по московскому времени. Жертвы - исключительно украинские цели, что совпадает с разведывательными задачами России. С другой стороны, группа использует сленговые названия наподобие "letsrollboyos", загружает образцы на VirusTotal, а один из вариантов PhantomRelay встречается в других киберпреступных кластерах, не связанных с государством. Кроме того, есть признаки возможной связи с группировкой UAC-0098, в которую, как считается, входят бывшие участники экосистемы TrickBot.
Эксперты приходят к выводу, что GREYVIBE представляет собой гибридную угрозу, размывающую грань между киберпреступностью и спонсируемой государством деятельностью. Нельзя исключать, что российские спецслужбы привлекли бывших или действующих криминальных хакеров для выполнения своих задач. Широкое применение ИИ позволяет группе быстро менять инструменты и избегать традиционных методов отслеживания, что усложняет работу защитников. WithSecure продолжает мониторинг и обещает делиться чувствительными данными с соответствующими органами по запросу.
Индикаторы компрометации
IPv4
- 188.124.59.120
- 193.233.23.81
IPv4 Port Combinations
- 194.87.108.110:8000
- 194.87.128.243:8000
- 74.112.102.120:14000
- 89.125.189.118:8000
- 89.125.189.85:8000
- 89.37.185.60:14000
- 91.149.221.124:8000
Domains
- aerobionix.com
- artsselection.com
- bluelagoonaenterprise.com
- bsnowcommunications.com
- chiselworksenterprise.com
- clubprincess.click
- declaration.linkpc.net
- doct0rsim.com
- dsszzi.linkpc.net
- edbo.linkpc.net
- edbo.publicvm.com
- edbo.work.gd
- emballeplus.com
- emovietheater.com
- fasterscommunications.com
- flyskyenterprise.com
- frontforce.org
- goodhillsenterprise.com
- halungroup.com
- heltaskeltahenterprise.com
- highfleetenterprise.com
- intrawld.com
- ironbrave.online
- j4jobspk.com
- jackscommunications.com
- kentfiresafe.com
- khanvas.com
- lapas.live
- maxolutions243.com
- meadowsantiques.com
- neuromancersolutionsenterprise.icu
- newequipmentsolutions.com
- newrentalsenterprise.com
- newsolutionsxsenterprise.icu
- newstarcommunity.com
- ny-car-dealership.it.com
- nycpartnersenterprise.com
- princessclub.best
- princessclub.click
- princessclub.cyou
- princessclub.online
- princess-mens.click
- princess-mens.fun
- princess-mens-club.com
- prosearium.net
- red-viper.com
- resutato.com
- robotic-toys.com
- routinesyscheckup.com
- saidozdemir.com
- seahorsemethod.com
- serotoninenterprise.com
- strip-mens.tilda.ws
- thirdmetrics.com
- tucsonanimalallergy.com
- ukrbezpeka.online
- ukrguard.org
- ukrvarta.online
- xpertlearninghub.com
- zeftasarim.com
- zoomconference.app
- zoomconference.click
URLs
- https://drive.google.com/file/d/12ffiBTWHm6GW8chJNIXuOeALPI82VnNs
- https://drive.google.com/file/d/1aSIXJgZUT7AQEp5B_D7gyHRq74EFUxoz
- https://drive.google.com/file/d/1RDXHPZtCzOXn6GN7UidXPo4qqZOA_UGd
- https://drive.google.com/file/d/1wkgvtTw_g5CvK84rWiHCr6HPZZb_OeKd
- https://share.secureinfo.eu/get/ypMXMG58xH/Матеріали_конференції_доп.zip
- https://storage.vlasiuk.kiev.ua/SW90D0qhta/матеріали_конференції.zip
- https://www.4sync.com/web/directDownload/tcqtmocL/MyE7HPqt.11b47e3a02edac898638b1906774210d
Emails
- centrenergo.ua@gmail.com
- centrenergo.ukr@gmail.com
- kanc.kh.dsns@gmail.com
- office.cip.ua.gov@gmail.com
- office.dsns.dp@gmail.com
- office.gov.cips@gmail.com
SHA256
- 0005c16f04ce7d5a1a9966069f4a291de5506e77490926d7fb177efa677fe588
- 03beb07ce116a2a69f360dd3fab8c3aa55bb42ce580d43f1924642874e388efe
- 07d9deaace25d90fc91b31849dfc12b2fc3ac5ca90e317cfa165fe1d3553eead
- 08eba15964cae61156a99d7ac33eedebdd6e9f3465dc77b5d8dc17dbedc2194a
- 18db95f2ae20a4ea86b3296f409eb3fc1131d2758c5bfdbda16a424a64e97d18
- 1b916c486ec621fb66bd4521dddad5df69bd35c4b76a980c0b924babf566cb84
- 1d69523a20b9c1180bba6a2cc9959d555e2ee9e78440fd79cfbaf31ad35a09fc
- 1e20e95b351a5bd26a3dcf1ead8cab133e3e473d2912b6e2ff285a09e855b60f
- 26d1a616b9332c34f1884ed000751833a9d9d17fb737e637636bf4acb4339a22
- 286de17c2e8017241bee12b0935ed5e1e5d5216f4311be781ca1a69ad81188b3
- 296932373f9c54fcf4eb285f81a17b1b93c5a96e5ff6dfa097b4d8c4b8f53b81
- 2a18935e758d6a0f5bc5ebb8e43da0d1fb0cb57f7be5ab7eb050e82a51bdc5b5
- 2abb318455960b446d034967c8403ec4339ba248b946f02cb1307ed7e6f4e327
- 35f3f1ead293ecc14ab03c96b0505c444b6cd0e7a48b4d099b53c8fe91cafc5e
- 40f9399ea067d69c0985aecdc54beddbcb585d7f660606e5bb4be981811c28ba
- 42464c188cb8116b63938b3236504ec4ae31c7cadb9063085b30dd468d88860f
- 476334f9254ef0277b3462b6086655f38358a983b95991cfe4dcdd787740906a
- 48a371a3973983a9bdb395cb33d6fce68d75b41d4bfd86d3f923cff79b545efc
- 4e6f85802d365751fa25c7014002ae44329a2d037d7b21f4bc34091b0c01b7b7
- 5115eca388860371d994457793f3a3c2c3d106da48ca12ecccb9432522c56cc3
- 51b92c81a44f5d242519032c56601d3ee3f5699112d8fbf40323b825dfa9feda
- 5e6c5b6604d88f044bff53b6576f7b15046baa666fa72bafe62069a8b9e9452f
- 62b585f36d4b14fa1e036feed692267aa098e7fc6cabb468a07997a025309299
- 63047083db26ec6a8aa2d0d008ca4c067855a952a89f9e3e878b2215e26841cf
- 687629ca9dc5b9b4bdf6c06fb1405449638b905f3a0c08bccac1c519ef22964d
- 78773eb9738bc3306a56bf39adc8212226479c24af8bf453be9d57103a91a904
- 7ac06aaf0cdc1c1f0f14b0e8ccc550f9df20e79f3ce321207ec7a1867d6227ef
- 7db11cf6a0417d5e20cd6720687ba86045b2fb758a7b585a49f572df2dc40c5e
- 87b8abb05c7ee5642a5e801e7825dfa5ee4c1393ac998e87470ab53cc75e1842
- 89e052bd182df8de5960784c663f962d44e058c8920a437f54ab75d03a7da3bd
- 8a7401444dd7c85b36ff7b1d0b36c5953692ef32dbeac7642fb7c1034bd8a726
- 908619929db75b0d2592ba6fb0a65be6c894592907c83f664f3b130108d98d6a
- 920e8a8e06a1559ba0b4a1be5f6c290ed8e305fd130675ceadc655c79c1cb369
- 93111e523c38d98247a78a0d1d9ae163e9874acb70721f6fe0bf451c62fff283
- 9b7008c43814c7bf18375774bd2ed5f3bda9316dbef20b7e086fe921838f1186
- 9e443d773df5adf0ab9e622bb8179ce899f46b2166f2faa09d54a4622a9ac5cc
- a1a67fbceac6b3b840893e375da5c449d0dacb22b4a914c5ff9827d42c991758
- a695a70c2efd11e1daa93997c1aaf976a205476839f553f2c8e64fb73123b853
- b0c07b265c9d9046038ffa48d5b8e17b8ba0791503beba85196cdbe0ac2fcb27
- b189b6099e6ad190fd67e0dfa41f0adf29f75bb46d541dce6d4d4c632b58d42f
- bc43504669966b0add6e4ec12022626126b80b8ee8d57ae95a953ee74d8df702
- bcb9e99021f88b9720a667d737a3ddd7d5b9f963ac3cae6d26e74701e406dcdc
- bd3f35b91bf83427e953d4cf531a0ee4b5ec9fc76b91700274effe0eba22510f
- c716dabe228f89e58835d2c93dbaa5719dc77f62c9e84f3e3d54ef82ded621e1
- c823a315c2c78d2fd345c9b38bb7fc31a8cbff96c534ce9cc66c4e54bc7935a2
- c9dfd29fba3eb8a3325faea0be46c41dfe2b44cdee94ae65658c4b0a9b85ffc7
- cbaf6cdb2acbd293d7e58cabe41449027a28b84223ba88f19e4463ec4176dad0
- ccc7f039e1afd55fe8bc767ae688e71e66f162aba0c0d1650face02f15e9c7d0
- d60dd96ef92b43e2e4f955dd76448fc320c3f8445b661d9a4a3c40caca0aa8a5
- d63cdac3e3623ae3072393f33a658537af71ded3109aacb3006f45cc7c94de05
- d814564ab8b905c3b9b7a42e757228d9d30f8ffd4fa6b3c48f4aa7e2b1e44594
- d9810fa6aa59864ceef509ed551da85fce31d69cfcd78f2f8b146c761387370e
- db05db462a0e8ba40c656dd0b8bd11f6fdc85895b54904df1dc83bb0609e2ff2
- db1776cc96cb89c3bb39314363ae8476fea3421877214f362005d1ed59574c10
- dec9c0213e1259c5aa5f86f6fef2c73e87c6a2c01773e2e99b8e1a0dd2eb149f
- e1f86fe0d103979da38a2be7fe3bf1d3eb63c5b60b5b952e02334559396a72b6
- e67a883595e95d357f92c2ab6cd34d4708e5ee711861c59192d9c23d7d20d0c7
- e81af6ae6862d905d8634a1f6e0a8893ba28e3ce61d12ccac020ef6fae802e8b
- e8d0943042e34a37ae8d79aeb4f9a2fa07b4a37955af2b0cc0e232b79c2e72f3
- e8ff33344b9aef15df02e03f4a5d8459b520d18011e39c179e19c629171122a5
- e9634032df81334e9e960ab8b88ff05a0f7ec9c034dc012f816f09e23c18d41b
- eb2c32b3d1aed95266b0b75704d4570b37b2d77e6c5d8401122ef4daf762f186
- ee144c883784c635ef84e0ae6a12b03553c1fd65646621f22d08511bd3e6d42a
- ee87fae14e3cc64d894f0a677af8832f8669f11853374c18b7110df1fc52f4e5
- f56170fc141e2fce7449a01af9bda7b22b8909b6c8eaf698e5a149e3da75eeac
- f79b9d14b93d4c509386684f2aeebe53ab088e704b38b359db3ee7991942aec6
- f8fd89b4d0d2608dbdf6e79282b7dc3fa3bef9b199a0dd02f15660cd02c73361
YARA
| 1 2 3 4 5 6 7 8 9 10 11 | rule DAYLIGHT { meta: author = "WithSecure" description = "Detects common strings found across samples obfuscated with DAYLIGHT" strings: $a = "$encryptedstream, $keystream" nocase ascii wide $b = "Daylight savings time is active" ascii wide condition: any of them } |
| 1 2 3 4 5 6 7 8 9 10 11 12 | rule TEASOUP { meta: author = "WithSecure" description = "Detects common strings found across samples obfuscated with TEASOUP" strings: $a = "s += String.fromCharCode(charCode)" ascii wide $b = "var ts = arr[i]" ascii wide $c = "System Maintenance Script" ascii wide condition: 2 of ($*) } |
| 1 2 3 4 5 6 7 8 9 10 11 | rule LOOKVALPS { meta: author = "WithSecure" description = "Detects common strings found across samples obfuscated with LOOKVALPS" strings: $a = "currentValue = $LookupTable" ascii wide $b = "foreach($b in $data){$d+=[char]($b -bxor $key)}" ascii wide condition: any of them } |
| 1 2 3 4 5 6 7 8 9 10 | rule LOOKVALJS { meta: author = "WithSecure" description = "Detects a common string found across samples obfuscated with LOOKVALJS" strings: $a = "currentValue = lookupTable" ascii wide condition: all of them } |
| 1 2 3 4 5 6 7 8 9 10 11 | rule GREYVIBE_JSLOADER_1 { meta: author = "WithSecure" description = "Detects common strings found across one of GREYVIBE's loaders (observed across PrincessClub and PhantomMail campaigns)" strings: $a = "wmizzzz" $b = "runzzzz" condition: all of them } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 | rule GREYVIBE_JSLOADER_2 { meta: author = "WithSecure" description = "Detects common strings found across one of GREYVIBE's loaders (observed in PhantomMail campaign)" strings: $a = "// String Reconstruction" $b = "Math.cos" $c = "Math.sin" $d = ".join(\"\")" condition: all of them } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 | rule PhantomRelay_Fingerprint { meta: author = "WithSecure" description = "Detects PhantomRelay's fingerprinting script" target_entity = "file" strings: $a1 = "$env:COMPUTERNAME" $a2 = "$env:USERNAME" $a3 = "$PID" $a4 = "Win32_Computer" $user_agent = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/534.36 (KHTML, like Gecko) Chrome/95.4.4476.124 Safari/537.36" condition: all of them } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 | rule GREYVIBE_PhantomRelay_Watchdog { meta: author = "WithSecure" description = "Detects GREYVIBE's watchdog script for PhantomRelay" strings: $a1 = "--headless" $a2 = "/watchdog" $a3 = "Register-ScheduledTask" $a4 = "DownloadFile" condition: filesize < 50KB and all of them } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 | rule LegionRelay_Client { meta: author = "WithSecure" description = "Detects LegionRelay client script" strings: $a1 = "powershell_ise" $a2 = "pwsh" $a3 = "/status" $a4 = "/commands?client_id=" $a5 = "[^\\w\\-]" $a6 = "client_config.json" condition: all of them } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 | rule FallSpy { meta: author = "WithSecure" description = "Detects FallSpy Android malware" strings: $a = "DataCollectorWork" fullword $b = "UpdateChecker" fullword $c = "/check_update?version=" $e = "&call_logs=" fullword $f = "&sim_numbers=" fullword $g = "&wifi_ssid=" fullword $h = "Public IP: " fullword $i = "uploaded_hashes" fullword $n = "Android ID: " fullword $o = "Call Logs: " fullword condition: 4 of them } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 | rule PhantomRelay_Client { meta: author = "WithSecure" description = "Detects PhantomRelay client script" strings: $a = ".idc" $b = ".cmd" $c = ".psh" $d = "WebSockets.ClientWebSocket" condition: filesize < 100KB and all of them } |
