技术说明
WithSecure发布了一份关于GREYVIBE的详细威胁情报报告,这是一个此前未被记录的俄罗斯关联威胁组织,自2025年8月以来在所有作战阶段系统性使用生成式AI(ChatGPT、Gemini、Ideogram AI)——包括虚假网站创建、鱼叉式钓鱼诱饵制作、定制恶意软件开发(PhantomRelay、LegionRelay、Fallspy)、混淆脚本和入侵后工具。值得注意的是,LegionRelay恶意软件很可能是LLM辅助开发的,但包含设计缺陷,使WithSecure能够在较长时间内监控该组织的活动。
攻击途径
多向量AI辅助攻击活动:冒充乌克兰实体(基辅市议会、能源公司、应急服务部门)的鱼叉式钓鱼邮件;ClickFix虚假CAPTCHA页面;传播Android间谍软件(Fallspy)的虚假成人俱乐部网站(PrincessClub活动)。使用AI加速技战法开发,填补能力空白,并生成新的作战档案,使归因和跟踪复杂化。
受影响系统
乌克兰军事、政府、民用和商业实体是主要目标。该组织的AI加速开发模型和作战档案代表了全球较低复杂度行为者如何使用LLM发挥超出其实力水平作用的蓝图。
缓解措施
应用WithSecure报告中的IOC。乌克兰以外的组织应将此视为能力预览:AI辅助社会工程攻击将在复杂性和数量上增加。投资于针对鱼叉式钓鱼的AI生成内容检测、ClickFix意识培训,以及针对绕过签名检测的基于加载器的恶意软件链的行为检测。