技術的な説明
WithSecure は、2025年8月以降、生成AI(ChatGPT、Gemini、Ideogram AI)をすべての作戦段階で体系的に使用している、これまで未報告のロシア系脅威グループ GREYVIBE に関する詳細な脅威インテリジェンスレポートを公開しました。このレポートには、偽のウェブサイト作成、スピアフィッシングルアーの作成、カスタムマルウェア開発(PhantomRelay、LegionRelay、Fallspy)、難読化スクリプト、および侵害後のツール開発が含まれています。特に、LegionRelay マルウェアは LLM 支援で開発された可能性がありますが、設計上の欠陥があり、WithSecure がこのグループの活動を長期間にわたって監視することを可能にしました。
攻撃経路
多ベクトル AI 支援キャンペーン:ウクライナの団体(キエフ市議会、エネルギー企業、緊急サービス)になりすましたスピアフィッシング電子メール。ClickFix 偽 CAPTCHA ページ。偽の大人向けクラブウェブサイト(PrincessClub キャンペーン)が Android スパイウェア(Fallspy)を配信。AI は取引手法開発を加速し、能力ギャップを埋め、帰属と追跡を複雑にする新しい作戦プロフィールを生成するために使用されました。
影響を受けるシステム
ウクライナの軍事、政府、民間、およびビジネス団体が主な対象です。このグループの AI 加速開発モデルと作戦プロフィールは、世界中の低度の洗練度を持つアクターが LLM を使用して自分たちの能力を上回るために行動する方法の青写真を表しています。
緩和策
WithSecure レポートから IOC を適用してください。ウクライナ外の組織は、これを能力プレビューとして扱う必要があります:AI 支援のソーシャルエンジニアリングは、洗練度と量において増加します。スピアフィッシングの AI 生成コンテンツ検出、ClickFix 認識トレーニング、および署名検出をバイパスするローダーベースのマルウェアチェーンの動作検出に投資してください。