Suomalainen kyberturvallisuusyritys WithSecure on paljastanut yksityiskohtia aiemmin tuntemattoman Greyvibe-hakkeriryhmän toiminnasta. Ryhmä on hyökännyt ainakin elokuusta 2025 lähtien Ukrainassa sotilaita, virkamiehiä ja siviilejä vastaan. Ryhmän erityispiirteenä on generatiivisen tekoälyn järjestelmällinen hyödyntäminen kaikissa operaatioiden vaiheissa.
Uhrien laitteiden saastuttamiseen hakkerit käyttivät kolmea menetelmää.
Ensimmäinen oli kohdennettu tietojenkalastelu: haitallisia liitetiedostoja sisältäviä sähköposteja naamioitiin virallisiksi sähköpostiviesteiksi. Niissä rikolliset esiintyivät Kiovan kaupunginhallinnon, ukrainalaisten energiayhtiöiden tai valtion virastojen työntekijöinä.
Toinen menetelmä perustui väärennettyihin Cloudflaren varmennussivuihin. Uhri houkuteltiin suorittamaan näennäisesti tavanomainen turvallisuustarkistus, jonka yhteydessä hänen laitteelleen asennettiin huomaamatta haittaohjelma.
Kolmas ja huomionarvoisin menetelmä oli tekaistujen ukrainalaisten aikuisille suunnattujen deittisivustojen käyttö. Näiden kautta levitettiin vakoiluohjelmia Android-älypuhelimiin ja Windows-käyttöjärjestelmää käyttäviin tietokoneisiin. Kampanjan vahvistettuihin uhreihin kuuluu ukrainalaisia sotilaita, joista monet olivat Harkovassa. Potentiaalisten uhrien tavoittamiseksi ryhmän jäsenet loivat Telegramiin ja deittikanaville valeprofiileja naisista.
Tekoälyllä on keskeinen rooli Greyviben operaatioissa. Tutkijat havaitsivat jälkiä useiden alustojen – ChatGPT:n, Google Geminin ja Ideogram AI:n – käytöstä houkutussivustoilla käytettyjen kuvien luomisessa, haittaohjelmistojen kehittämisessä sekä saastuneiden laitteiden hallintaan tarkoitettujen komentojen kirjoittamisessa. WithSecure arvioi, että kyse ei ole kokeiluista, vaan järjestelmällisestä ja tarkoituksellisesta tekoälyn hyödyntämisestä, jonka avulla ryhmä pystyy paikkaamaan teknisen osaamisen puutteita ja kehittämään uusia työkaluja aiempaa nopeammin.
Vaikka Greyviben kohteet ja toimintatavat viittaavat yhteyksiin Venäjän valtiollisiin intresseihin, useat piirteet erottavat ryhmän tyypillisistä tiedustelupalveluihin kytketyistä toimijoista. Ryhmän jäsenet tekivät kyberrikollisille tyypillisiä virheitä: he latasivat haittaohjelmien testiversioita julkisiin tiedostojen tarkistuspalveluihin, asensivat osaan saastutetuista laitteista kryptovaluutan louhintaohjelmia ja käyttivät tiedostojen sisäisissä nimissä slangimaisia ilmauksia kuten ”letsrollboyos”, “totallyunsus” tai ”cuteuwu”. WithSecure arvioi kohtalaisella varmuudella, että ryhmään kuuluu nykyisiä tai entisiä kyberrikollisia.
Venäjän tiedusteluun liitetyt hakkeriryhmät ovat hyökänneet ukrainalaisia kohteita vastaan täysimittaisen hyökkäyssodan alusta lähtien. Muun muassa Fancy Bear ja Sandworm ovat toteuttaneet operaatioita Ukrainan ja sen liittolaisten valtionhallintoa, tiedotusvälineitä ja sotilaallista infrastruktuuria vastaan. Greyvibeä ei toistaiseksi ole onnistuttu yhdistämään yhteenkään tunnettuun hakkeriryhmään.