Der Krieg in der Ukraine wird nicht nur an der Front, sondern auch im Cyberspace ausgetragen. Mit GREYVIBE hat die finnische Sicherheitsfirma WithSecure nun eine Akteursgruppe identifiziert, die seit mindestens August 2025 ukrainische Ziele ins Visier nimmt. Was GREYVIBE besonders macht, ist die konsequente Nutzung von Generativer KI (GenAI) und Large Language Models (LLMs) – und das nicht nur für die Erstellung von Phishing-Texten, sondern tiefgreifend in der Malware-Entwicklung. Gleichzeitig deuten zahlreiche OPSEC-Patzer und Verbindungen zur Cybercrime-Szene darauf hin, dass wir es hier nicht mit einem klassischen, hochgradig professionellen Staatssprecher zu tun haben.
KI als Turbo für die Malware-Entwicklung
Die Analyse von WithSecure zeichnet das Bild einer Gruppe, die als "low-to-moderately sophisticated" eingestuft wird – also über mittelmäßige technische Fähigkeiten verfügt. Doch genau hier kommen KI-Tools wie OpenAI ChatGPT, Google Gemini und Ideogram AI ins Spiel. Sie dienen GREYVIBE als Hebel, um eigene Schwächen auszugleichen. So wurden unter anderem die PowerShell-basierte RAT (Remote Access Trojan) "LegionRelay" sowie zugehörige Obfuskatoren, Loader-Skripte und Backend-Infrastruktur mit KI-Unterstützung entwickelt.
Für die Bedrohungslandschaft ist das ein bedeutsamer Trend: KI senkt die Einstiegshürde für komplexe Cyberangriffe drastisch. Wenn Akteure mittlerer Fertigkeit fähig sind, innerhalb kurzer Zeit funktionsfähige Schadsoftware zu generieren, steigt die schiere Masse an Angriffen. Zudem erschwert die KI-Nutzung die klassische Attribution. Wer seinen Code ständig von einer KI refactoren oder neu generieren lässt, hinterlässt keine stabilen, wiedererkennbaren technischen Artefakte, auf denen Threat Intelligence normalerweise aufbaut.
Ein Fehlerhafter Vorteil
Doch die KI ist kein Allheilmittel – und das zeigt sich bei GREYVIBE eindrucksvoll. Die Automatisierung hat Designfehler in der LegionRelay-Malware introduziert, die deren Backend-Funktionalität offenlegten. Solche "dummen" Fehler sind ein klarer Indikator dafür, dass GREYVIBE kein reines APT-Team (Advanced Persistent Threat) ist. Hochgradige Staatsschauspieller operieren weitaus sauberer. Hier wird deutlich: KI beschleunigt zwar den Entwicklungszyklus, ersetzt aber nicht das tiefgreifende Verständnis für sicheres Software-Design.
Breites Arsenal an Social Engineering
Abseits der KI-Debatte besticht GREYVIBE durch eine erschreckend kreative und breit gefächerte Methodik. Die Gruppe scheut keine moralischen Grenzen und nutzt die Schrecken des Krieges direkt aus:
- PhantomMail & PhantomClick: Klassische Spear-Phishing-Mails mit Google-Drive-Links sowie ClickFix-Täuschungen über gefälschte Captcha-Seiten (als Zoom oder LAPAS getarnt) dienen als Einfallstor für PhantomRelay, eine PowerShell-RAT.
- PrincessClub: Hier nutzen die Angreifer gefälschte ukrainische Erotik-Club-Webseiten. Auf Windows-Systemen wird LegionRelay installiert, auf Android das Spyware-Tool FallSpy. In späteren Versionen der Lockseiten wurde sogar ein WebRTC-basiertes Live-Video-Call-Feature integriert, um Audio und Video der Opfer direkt abzugreifen.
- DroneLink: Gefälschte Spendenseiten für die ukrainischen Streitkräfte liefern WireGuard-Konfigurationen und LegionRelay aus.
- Nebo: Ein besonders tückischer Ansatz, bei dem FallSpy einen russischsprachigen Login-Screen simuliert. Ziel ist es vermutlich, ukrainisches Militärpersonal dazu zu bringen, sich auf einem vermeintlich erbeuteten russischen Terminal anzumelden.
Besonders LegionRelay ist ein datengieriges Werkzeug: Es stiehlt Browser-Daten, macht Screenshots, exfiltriert Telegram- und WhatsApp-Daten und bereitet RDP-Zugänge vor.
Die Grauzone zwischen Staat und Cybercrime
Die perhaps spannendste Erkenntnis der WithSecure-Analyse betrifft die Identität von GREYVIBE. Die Gruppe operiert zwar klar im Interesse des Kremls und zielt auf ukrainische Entitäten ab, doch ihre Wurzeln scheinen in der russischen Cybercrime-Szene zu liegen.
Dafür sprechen mehrere Indizien:
- Die Nutzung eines ISO-Builders mit Verbindungen zur TrickBot-Gang und UAC-0098.
- PhantomRelay-Varianten tauchten auch in scheinbar unzusammenhängenden Cybercrime-Kampagnen auf, etwa einem Microsoft-Teams-Voice-Phishing-Angriff.
- Frühlungs- und Testversionen der Malware wurden auf VirusTotal hochgeladen – ein typischer Fehler von Cybercrime-Gruppen, nicht aber von professionellen APTs.
- Die Benennung von Entwicklungsartefakten mit Internet-Slang wie "letsrollboyos", "totallyunsus" und "cuteuwu". Letzteres ist ein beliebter Emoticon-Slang in bestimmten Hacker- und Modding-Communities, dürfte aber in einem russischen Militärgeheimdienst kaum zum offiziellen Vokabular gehören.
- Auf einigen LegionRelay-infizierten Maschinen wurde der Krypto-Miner XMRig installiert – ein klassischer Beutezug der Cybercrime, der bei reinen Spionageoperationen eher selten ist.
Fazit: Eine neue Art der Bedrohung
GREYVIBE ist ein Paradebeispiel für die sich verändernde Natur von Cyberkonflikten. Die Grenzen zwischen staatlich dirigierter Spionage und profitorientierter Cybercrime verschwimmen zunehmend. Offenbar rekrutiert Russland auch Akteure aus der kriminellen Unterwelt oder duldet deren nebengewerbliche Aktivitäten, solange der Hauptzweck – die Spionage und Destabilisierung der Ukraine – erfüllt wird.
Die Einbindung von KI-Tools macht diese Hybrid-Akteure gefährlicher, da sie schneller und in höherer Frequenz zuschlagen können. Gleichzeitig bietet die durch KI introduzierte Schlampigkeit jedoch auch neue Angriffsflächen für Verteidiger. Die Bedrohungslage bleibt dynamisch, und die ukrainische Cyber-Verteidigung muss sich auf Gegner einstellen, die sowohl skrupellos in ihrer Taktik als auch unkonventionell in ihrer Zusammensetzung sind.
Quelle: The Hacker News
