WithSecure conclut que le groupe Greyvibe a utilisé des LLM pour générer des logiciels malveillants personnalisés, une infrastructure backend et des leurres de phishing afin de cibler des organisations en Ukraine dans le cadre des efforts de collecte de renseignements russes.
Des chercheurs ont découvert un groupe russe jusqu’alors inconnu qui utilise largement les grands modèles linguistiques (LLM) dans ses attaques contre des organisations privées, gouvernementales et militaires en Ukraine. Il utilise une variété de vecteurs d’attaque ainsi que des logiciels malveillants personnalisés, dans le but de recueillir des renseignements pour la guerre en cours.
Surnommé Greyvibe par les chercheurs de WithSecure, le groupe a démontré une utilisation systématique de l’IA générative à toutes les étapes de ses opérations, depuis la création de leurres de spear phishing et de scripts malveillants jusqu’au développement complet de logiciels malveillants et à la mise en place d’une infrastructure backend.
« Bien que les activités correspondent aux intérêts de l’État russe, plusieurs indicateurs observés suggèrent que le groupe a des liens avec l’écosystème plus large de la cybercriminalité, le groupe impliquant potentiellement des acteurs cybercriminels actuels ou anciens », ont déclaré les chercheurs de WithSecure dans leur rapport.
Changement de vecteurs d’attaque
La première campagne de Greyvibe a été lancée en août 2025, avec une série d’e-mails de spear phishing censés provenir de responsables ukrainiens et d’agences gouvernementales, notamment de la ville de Kiev, de la Direction principale des situations d’urgence de l’État et du Service national des communications spéciales et de la protection de l’information.
Les e-mails comprenaient des liens vers des archives ZIP et RAR, hébergées sur Google Drive et un service appelé 4sync, contenant des chargeurs de logiciels malveillants écrits en Python et JavaScript. La charge utile finale était un programme malveillant personnalisé développé par le groupe que les chercheurs de WithSecure ont surnommé PhantomRelay.
Lors d’une autre attaque en octobre, le groupe a expérimenté des attaques de type ClickFix sur de fausses pages CloudFlare CAPTCHA. Ces attaques demandaient aux utilisateurs d’ouvrir la boîte de dialogue Exécuter de Windows et de coller des commandes malveillantes.
Greyvibe a également créé de faux sites Web de clubs pour adultes en ukrainien, ainsi que de faux sites Web pour des organisations caritatives prétendant soutenir l’armée ukrainienne avec des drones FPV et des drones. Ces attaques ont distribué plusieurs programmes malveillants pour les appareils Android (FallSpy) et Windows (PhantomRelay et LegionRelay).
Les chercheurs ont également suivi un site Web en russe qui, selon eux, faisait partie des opérations du groupe ; il faisait référence à des numéros de central téléphonique codés en dur pour les télécommunications sécurisées généralement utilisées par l’armée russe.
« La victimologie envisagée pour cette activité reste floue », ont déclaré les chercheurs. « Cependant, l’hypothèse la plus plausible est que le leurre aurait été conçu pour tromper le personnel militaire ukrainien en présentant l’illusion d’un accès à un terminal militaire russe. »
Malware personnalisé développé à l’aide de LLM
Le programme malveillant PhantomRelay est un cheval de Troie d’accès à distance (RAT) écrit en PowerShell qui peut exécuter des scripts personnalisés supplémentaires reçus du serveur de commande et de contrôle (C2). Bien que des variantes de ce programme aient été observées dans des activités qui pourraient n’avoir aucun rapport avec Greyvibe, le groupe a complètement réécrit l’outil et a créé une version exclusivement utilisée dans ses propres opérations.
LegionRelay est un autre RAT basé sur PowerShell qui peut exécuter de la même manière des commandes et des scripts reçus du serveur C2 ; il est utilisé pour l’énumération de fichiers, l’exfiltration de fichiers, la capture d’écran, le vol de données du navigateur, l’exfiltration de données Telegram et WhatsApp, la configuration de l’accès RDP et d’autres actions.
FallSpy est un programme espion Android qui peut voler des contacts, des journaux d’appels, une liste des applications installées, des numéros de téléphone liés à la carte SIM, des informations sur l’appareil et le réseau, le SSID Wi-Fi, le dernier emplacement connu du téléphone, son adresse IP publique et des fichiers multimédias.
Enfin, une série de scripts personnalisés permettant de masquer et de charger des logiciels malveillants a également été observée : LOOKVALPS (PowerShell), LOOKVALJS (JavaScript), DAYLIGHT (PowerShell) et TEASOUP (JavaScript).
Les chercheurs de WithSecure ont déterminé, avec une confiance modérée, que plusieurs de ces outils personnalisés ont été développés à l’aide de LLM. LegionRelay en particulier, ainsi que l’infrastructure d’arrière-plan qui le dessert, présentent de solides indicateurs de génération d’IA. Les chercheurs pensent que certaines des plates-formes utilisées par les attaquants incluent Ideogram AI, ChatGPT et Google Gemini.
« Greyvibe semble utiliser l’IA non seulement pour des tâches de développement isolées, mais également sur plusieurs phases opérationnelles », ont déclaré les chercheurs. « Cela permettra probablement au groupe de compenser les lacunes en matière de capacités, d’accélérer les cycles de développement et potentiellement de réduire les liens historiques avec des activités antérieures. Compte tenu de cette utilisation intensive, nous nous attendons à ce que le savoir-faire du groupe continue d’évoluer et de se diversifier, augmentant probablement la complexité de la détection, du suivi et de l’attribution continus. «
