기술 설명
WithSecure가 GREYVIBE에 대한 상세한 위협 인텔리전스 보고서를 발표했으며, 이는 이전에 문서화되지 않은 러시아 연계 위협 그룹으로 2025년 8월 이후 생성형 AI(ChatGPT, Gemini, Ideogram AI)를 모든 운영 단계에서 체계적으로 사용해온 것으로 나타났습니다 — 가짜 웹사이트 생성, 스피어피싱 미끼 제작, 커스텀 멀웨어 개발(PhantomRelay, LegionRelay, Fallspy), 난독화 스크립트 및 침투 후 도구 포함. 특히 LegionRelay 멀웨어는 LLM 보조 가능성이 높지만 WithSecure가 장시간에 걸쳐 그룹의 활동을 모니터링할 수 있게 해주는 설계 결함이 포함되어 있었습니다.
공격 경로
다중 벡터 AI 보조 캠페인: 우크라이나 기관(키예프 시의회, 에너지 회사, 긴급 서비스) 사칭 스피어피싱 이메일; ClickFix 가짜 CAPTCHA 페이지; Android 스파이웨어(Fallspy) 전달 가짜 성인 클럽 웹사이트(PrincessClub 캠페인). AI는 거래 기술 개발 가속화, 능력 격차 해소 및 귀속 추적을 어렵게 하는 새로운 운영 프로필 생성에 사용되었습니다.
영향받는 시스템
우크라이나 군부, 정부, 민간인 및 사업체가 주요 목표입니다. 해당 그룹의 AI 가속화 개발 모델과 운영 프로필은 전 세계의 낮은 수준의 행위자들이 LLM을 사용하여 자신의 능력 이상으로 활동하는 방식에 대한 청사진을 나타냅니다.
완화 방안
WithSecure 보고서의 IOC를 적용합니다. 우크라이나 외부의 조직은 이를 능력 미리보기로 취급해야 합니다: AI 보조 소셜 엔지니어링은 정교함과 규모가 증가할 것입니다. 스피어피싱을 위한 AI 생성 콘텐츠 탐지, ClickFix 인식 훈련 및 서명 탐지를 우회하는 로더 기반 멀웨어 체인에 대한 행동 탐지에 투자합니다.