一封来自“乌克兰政府部门”的邮件,一个看似正常的验证码页面,一个暧昧的“成人俱乐部”邀请——这三样东西背后,是同一个黑客组织在批量生产网络攻击。而它们的共同点是:大部分代码都是AI写的。
网络安全公司WithSecure最新披露的报告,揭开了一个名为“GREYVIBE”的黑客组织。这个此前未被追踪过的威胁团体,至少从2025年8月开始活跃,主要针对乌克兰政府、军事和民用部门发起攻击。虽然尚无法明确归因,但其行动模式、基础设施和目标选择,都与俄罗斯国家利益高度吻合——俄语痕迹、莫斯科时区活动规律、攻击对象集中在乌克兰机构。
但真正让安全研究员们警觉的事另有所在:这个组织在用ChatGPT、Google Gemini和Ideogram AI批量生产攻击组件。
AI写钓鱼邮件,也写恶意代码
GREYVIBE的攻击手法谈不上多高明——鱼叉式钓鱼邮件、伪造验证码页面、搭建欺诈网站,搭配Google Drive分发恶意压缩包。这些压缩包打开后,受害者在看到一份“无害文档”的同时,自定义加载器已经在后台悄悄启动感染链。
真正的变化藏在代码细节里。研究人员在多个恶意组件中识别出了AI生成的代码模式,包括混淆器和加载器(分别命名为DAYLIGHT和TEASOUP),以及一个基于PowerShell编写的自定义远程访问木马LegionRelay。简单说,这个组织把生成式AI当成了研发加速器:技术底子不够厚?没关系,让ChatGPT帮忙写代码。
这种操作带来的直接效果是开发周期大幅缩短,而且由于不再依赖重复使用的代码片段,传统的攻击归因手段——通过代码特征追溯攻击者身份——变得越来越难使。一帮技术二流的攻击者,靠着AI辅助,硬是折腾出了持续进化的攻击工具。
AI帮忙写木马,也帮了倒忙
有意思的反转来了:AI虽然加速了开发,也埋下了坑。
WithSecure的研究人员发现,LegionRelay这个由AI协助编写的木马存在设计缺陷,后端功能直接暴露了出来。于是讽刺的一幕出现了——攻击者用AI写恶意代码试图隐藏行踪,结果AI留下的漏洞反而让安全团队得以持续监控攻击者的活动。用AI加速攻击?这回加速的是自己的暴露速度。
工具箱:WebSocket木马和安卓间谍软件
GREYVIBE的武器库里,两款工具尤其值得关注:
一款是PhantomRelay,模块化远程访问木马,通过WebSocket协议执行命令。这种架构让攻击者可以更灵活地控制被感染的设备,同时网络流量也更难被传统防火墙识别。
另一款是FallSpy,专门针对安卓设备的间谍软件,会窃取通讯录、位置信息和设备数据,并把敏感信息回传。用来分发这款间谍软件的渠道,是那些伪装的“成人俱乐部”网站,目标精确指向乌克兰人,特别是军事人员。这些网站不单是投放恶意软件的载体,还会在Telegram等通讯平台上用虚假身份进行社交工程诱导。
AI让门槛变低,也让破绽变多
GREYVIBE的案例折射出一个尴尬的现实:生成式AI正在降低网络攻击的技术门槛,一帮水平有限的攻击者也能快速拼装出像模像样的攻击工具。但反过来,AI生成代码中的结构性问题和设计缺陷,也在给防御方创造新的突破口。用得好是加速器,用得不好就是自曝器。
当AI写出来的钓鱼邮件越来越以假乱真,当AI生成的木马在暗网里流通,传统靠代码特征做归因的安全模型确实在被挑战。但至少目前来看,AI还没聪明到能帮攻击者把一切漏洞都堵上——这一点,正在监控GREYVIBE活动的研究员们大概最有发言权。
热门跟贴