技術的な説明
WithSecureが、2025年8月以来、生成AI(ChatGPT、Gemini、Ideogram AI)をすべての運用段階で体系的に使用している、これまで未報告のロシア系脅威グループGreyVibeに関する詳細な脅威インテリジェンスレポートを公開しました。これには、フェイクウェブサイト作成、スピアフィッシング用途のための偽装コンテンツ作成、カスタムマルウェア開発(PhantomRelay、LegionRelay、Fallspy)、難読化スクリプト、侵害後のツール類が含まれます。特に、LegionRelayマルウェアはおそらくLLM支援で開発されましたが、WithSecureがこのグループの活動を長期間にわたって監視することを可能にした設計上の欠陥が含まれていました。
攻撃経路
多段階AI支援キャンペーン: ウクライナの機関(キーウ市評議会、エネルギー企業、緊急サービス)になりすましたスピアフィッシングメール、ClickFixフェイクキャプチャページ、Androidスパイウェア(Fallspy)を配布するフェイク大人向けクラブウェブサイト(PrincessClubキャンペーン)。AIは技法開発の加速、能力ギャップの埋め合わせ、属性情報特定と追跡を複雑にする新たな運用プロフィールの生成に使用されました。
影響を受けるシステム
ウクライナの軍事、政府、民間およびビジネス機関が主な標的です。このグループのAI加速開発モデルと運用プロフィールは、世界中の低度な洗練度を持つアクターがLLMを使用してその能力以上のことを成し遂げるための青写真を示しています。
緩和策
WithSecureレポートからIOCを適用してください。ウクライナ以外の組織は、これを能力のプレビューとして扱うべきです。AI支援ソーシャルエンジニアリングは、洗練度と量の両面で増加します。スピアフィッシングのためのAI生成コンテンツ検出、ClickFix認識トレーニング、署名検出をバイパスするローダーベースのマルウェアチェーンに対する動作検出への投資が必要です。