Greyvibe
A WithSecure kutatása egy új, GREYVIBE néven követett, orosz kötődésű fenyegető csoportot mutat be, amely Ukrajnát célzó műveleteiben szisztematikusan alkalmaz generatív AI-eszközöket. A kutatók szerint a csoport technikai képességei nem kiemelkedőek, azonban az AI használata jelentősen növeli műveleti hatékonyságát, és részben kompenzálja a hagyományos fejlesztési és malware-fejlesztési hiányosságokat.
A GREYVIBE különösen érdekes abból a szempontból, hogy a generatív AI-t nem egyetlen feladatra használja, hanem a teljes támadási lánc több pontján. A WithSecure szerint AI segítségével készítettek phishing tartalmakat, social engineering lure-öket, malware-komponenseket, script-részleteket, obfuszkációs elemeket és fordításokat. A kutatók olyan artefaktumokat azonosítottak, amelyekben közvetlenül megmaradtak LLM-ek által generált kódrészletek, kommentek és hibák.
A kampány fő célpontjai ukrán szervezetek és intézmények voltak. A támadók dokumentumalapú fertőzési láncokat, script-alapú payloadokat és egyszerűbb malware-eket alkalmaztak. A WithSecure értékelése szerint a csoport nem fejlett APT-szintű operátor, hanem inkább olyan szereplő, amely AI segítségével képes gyorsan előállítani és módosítani támadóeszközöket, jelentősen csökkentve a fejlesztési költséget és a szükséges szakértelmet.
Az AI már nem pusztán támogatja a támadókat, hanem egyre inkább capability multiplier szerepet tölt be. Olyan operátorok számára is lehetővé teszi malware-fejlesztés, lokalizált phishing vagy gyors infrastruktúra-építés végrehajtását, akik korábban nem rendelkeztek ehhez megfelelő technikai háttérrel. A WithSecure szerint a GREYVIBE jól példázza azt a 2025–2026-ban egyre erősebben megfigyelhető trendet, ahol az AI nem önálló támadóeszközként jelenik meg, hanem a teljes cyber kill chain gyorsító komponenseként működik.
A kutatók ugyanakkor hangsúlyozzák, hogy az AI által generált kódok és malware-komponensek gyakran tartalmaznak hibákat, következetlenségeket és felismerhető mintákat. Ezek egyelőre lehetőséget biztosítanak a detekcióra és attribúciós elemzésre, azonban a modellek fejlődésével ez az előny várhatóan fokozatosan csökkenni fog.
