Um novo grupo de ameaças com fortes ligações à Rússia, monitorizado sob o nome GreyVibe, está a utilizar engodos gerados por inteligência artificial e ferramentas personalizadas de malware para atacar diversas entidades. De acordo com a investigação detalhada pela WithSecure, esta campanha de ciberespionagem está ativa desde, pelo menos, agosto de 2025 e tem focado as suas operações em organizações do setor militar, governamental, civil e empresarial ligadas à Ucrânia.
Esquemas de ataque baseados em inteligência artificial
Para aumentar a eficácia dos seus ataques, o grupo recorre a ferramentas como o ChatGPT, o Ideogram AI e o Google Gemini para gerar conteúdos altamente realistas. A estratégia de ataque desdobra-se em várias campanhas, como a PhantomMail, que distribui arquivos maliciosos através de links enganadores, e a PrincessClub, que utiliza falsos portais de encontros ucranianos para distribuir software espião e realizar chamadas em direto capazes de captar o áudio e o vídeo das vítimas.
Os métodos incluem ainda a criação de páginas falsas de verificação para forçar a execução de comandos maliciosos no equipamento do utilizador e a configuração de falsos portais de comunicações militares, concebidos para enganar o pessoal militar ucraniano a introduzir as suas credenciais em terminais controlados pelos piratas informáticos.
Ferramentas personalizadas e ligações ao cibercrime
A par das iscas digitais, a operação utiliza programas maliciosos próprios que também terão sido desenvolvidos com o auxílio de modelos de linguagem. O arsenal inclui o LegionRelay, um troiano de acesso remoto capaz de roubar credenciais, capturar o ecrã e extrair dados de aplicações como o WhatsApp e o Telegram. Nos dispositivos móveis, os atacantes recorrem ao FallSpy, um software de espionagem para equipamentos Android focado na recolha integral de dados de localização, ficheiros de multimédia, informações do cartão SIM e listas de contactos.
Embora o uso da língua russa nos painéis de controlo, a configuração de servidores para o fuso horário de Moscovo e os comentários no código sugiram um alinhamento direto com os interesses russos, os investigadores notam que o grupo carece da disciplina operacional típica de uma entidade governamental madura. A utilização de ferramentas associadas a antigos membros do grupo cibercriminoso TrickBot, aliada à instalação de mineradores de criptomoedas nalguns equipamentos infetados, sugere que o GreyVibe pode ser uma equipa híbrida. Esta estrutura poderá agregar antigos elementos do cibercrime a operar de forma independente, mas sujeitos a missões direcionadas por intervenientes estatais.
Nenhum comentário
Seja o primeiro!