რუსეთთან დაკავშირებულმა ჰაკერებმა უკრაინული სამიზნეების წინააღმდეგ ChatGPT და Gemini გამოიყენეს

რუსეთთან დაკავშირებული GreyVibe უკრაინაზე კიბერშეტევების გასაძლიერებლად ChatGPT-სა და Gemini-ს იყენებს

რუსეთთან კავშირის მქონე აქამდე უცნობმა საფრთხის ჯგუფმა გამოიყენა გენერაციული AI ინსტრუმენტები უკრაინული სამიზნეების წინააღმდეგ კიბერშეტევების ოპერაციების ყველა ფაზაში, ნათქვამია კიბერუსაფრთხოების ფირმა WithSecure-ის მიერ ამ კვირაში გამოქვეყნებულ ახალ კვლევაში.

AI-ით აღჭურვილი ჯაშუშობა

ჯგუფმა, რომელსაც GreyVibe-ის სახელით აკვირდებიან, აქტიურობა სულ მცირე 2025 წლის აგვისტოდან დაიწყო და მიზანში იღებს უკრაინის სამხედრო, სამთავრობო, სამოქალაქო და ბიზნეს ორგანიზაციებს, ნათქვამია WithSecure-ის 27 მაისს გამოქვეყნებულ ანგარიშში. მკვლევარებმა ეს აქტივობა 2026 წლის იანვარში აღმოაჩინეს და დაადგინეს, რომ ჯგუფი იყენებს OpenAI-ის ChatGPT-ს, Google Gemini-სა და Ideogram AI-ს ფიშინგის სატყუარების შესაქმნელად, ყალბი ვებსაიტების ასაგებად, მორგებული მავნე პროგრამების შესამუშავებლად და კომპრომეტირების შემდგომი ინსტრუმენტების შესაქმნელად.bleepingcomputer

რუსეთთან კავშირს ადასტურებს რუსულ ენაზე დაწერილი მავნე პროგრამების პანელები, კოდის არტეფაქტებში არსებული კომენტარები და მოსკოვის დროზე (UTC+3) კონფიგურირებული მართვისა და კონტროლის სერვერები, თუმცა WithSecure-მა თავი შეიკავა მისი ოფიციალურ სახელმწიფო ოპერაციად კლასიფიცირებისგან.bleepingcomputer

ხუთი კამპანიის ჯაჭვი

WithSecure-მა ხუთი განსხვავებული თავდასხმის კამპანია დააფიქსირა. PhantomMail იყენებს სპერ-ფიშინგის ელ.წერილებს მავნე არქივებით, რომლებიც შენიღბულია როგორც უკრაინის სამთავრობო და ენერგეტიკული დოკუმენტები. PhantomClick იყენებს ყალბ CAPTCHA გვერდებს, რომლებიც მსხვერპლს ატყუებენ, რომ გაუშვან თვითინფიცირების ბრძანებები, შემდეგ კი გადაამისამართებენ მათ ლეგიტიმურ Zoom შეხვედრებზე, რათა მათ ეჭვი არ შეიტანონ კომპრომეტირებაში. PrincessClub — შესაძლოა ყველაზე დახვეწილი — იყენებს ყალბ გაცნობის ვებსაიტებს და Telegram პერსონებს, რათა უკრაინელი სამხედრო მოსამსახურეები ჯაშუშური პროგრამების დაყენებაში დაარწმუნოს, მათ შორის ნდობის მოსაპოვებლად რეალურ ადამიანებთან პირდაპირი ვიდეო ზარების გამოყენებით.itmedia

დამატებითი ორი კამპანია, DroneLink და Nebo, იყენებს უკრაინული სამხედრო საქველმოქმედო საიტების გაყალბებას და რუსული სამხედრო შესვლის პორტალების სპუფინგს.bleepingcomputer

ჯგუფი იყენებს მორგებულ მავნე პროგრამებს, მათ შორის LegionRelay და PhantomRelay, ორივე PowerShell-ზე დაფუძნებული დისტანციური წვდომის ტროანი, რომლებიც სავარაუდოდ AI-ის დახმარებითაა შემუშავებული. LegionRelay-ს შეუძლია ფაილების მოპარვა, ეკრანის ანაბეჭდების გადაღება, ბრაუზერის რწმუნებათა სიგელების და Telegram-ისა და WhatsApp-ის შეტყობინებების მონაცემების ექსფილტრაცია და დისტანციური წვდომის დაყენება. Android მოწყობილობებზე ჯგუფი იყენებს FallSpy ჯაშუშურ პროგრამას კონტაქტების, ზარების ჟურნალების, მდებარეობის მონაცემებისა და მედია ფაილების მოსაპოვებლად.bleepingcomputer

კიბერკრიმინალური ფესვები, სახელმწიფოსთან შეთანხმებული მისია

მიუხედავად იმისა, რომ რუსეთის სახელმწიფო ინტერესების შესაბამისად მოქმედებს, GreyVibe-ს „აკლდა დახვეწილობისა და ოპერატიული დისციპლინის ის დონე, რომელიც ჩვეულებრივ ასოცირდება მომწიფებულ სახელმწიფო აქტორებთან“, აღნიშნა WithSecure-მა. ზოგიერთი მტკიცებულება ჯგუფს აკავშირებს ყოფილ TrickBot კიბერკრიმინალებთან, რომლებიც უკრაინაში რუსეთის შეჭრის დასაწყისში მოქმედებდნენ, ხოლო ოპერატორებმა ზოგიერთ მსხვერპლის მანქანაზე კრიპტოვალუტის მაინერები განათავსეს — რაც უჩვეულოა სახელმწიფოს მიერ მხარდაჭერილი ჯგუფებისთვის.bleepingcomputer

WithSecure-ის კრისტინ ბეჰერასკომ განაცხადა, რომ ფირმას სჯერა, რომ GreyVibe „დაქირავებულია“ რუსეთის მთავრობის მიერ და არა მისი პირდაპირი ნაწილი. ჯგუფი კვლავ აქტიურია, კამპანიები 2026 წლის აპრილშიც კი დაფიქსირდა, ხოლო მისი წევრები კვლავ იდენტიფიცირებულნი არ არიან. მკვლევარების თქმით, GreyVibe წარმოადგენს ნათელ მაგალითს იმისა, თუ როგორ აძლევს გენერაციული AI საშუალებას დაბალი კვალიფიკაციის მქონე პირებს, „თავიანთ წონაზე მეტი იტვირთონ“ — დააჩქარონ ოპერაციები და გაართულონ ატრიბუცია თავდასხმის სასიცოცხლო ციკლის მრავალ ეტაპზე.linkedin