网络间谍行动不再只是靠人力写钓鱼邮件了。一个被追为GreyVibe的黑客组织,正在用ChatGPT、Ideogram AI和谷歌Gemini,批量生成钓鱼诱饵和混淆工具。网络安全公司WithSecure今年一月发现,这场针对乌克兰及其关联机构的网络刺探,至少从2025年8月就已开始运转。
安全研究员暂时无法将其确定为国家级行动,但作战痕迹处处指向俄罗斯方向。恶意软件控制面板的语言是俄语,代码注释是俄文,C2服务器时区统一配置成UTC+3,与莫斯科时间一致。攻击目标覆盖军队、政府、民用机构和商业部门,全盘踩在俄罗斯的地缘利益线上。
GreyVibe的入侵链条五条并进,每条都像独立的产品线。第一条叫PhantomMail,通过鱼叉式钓鱼邮件投递ZIP或RAR压缩包,链接藏在Google Drive和4sync上。解压后跳出伪装成乌克兰政府、紧急部门、电信公司和能源机构的PDF文档,要么就弹出虚假报错窗口,趁受害者分心时安装恶意软件。
第二条PhantomClick走的是假验证码路线。黑客伪造了Zoom和LAPAS网站的Cloudflare验证页面,诱导受害者自己敲下自感染命令。第三条PrincessClub更精细,搭建了乌克兰语的虚假成人交友网站,推送FallSpy安卓间谍软件和PhantomRelay、LegionRelay这两款Windows远控木马。操盘者注册了女性人设的Telegram账号来加好友,后来还叠加了基于WebRTC的实时视频通话,能直接捕捉受害者的音画数据。
第四条DroneLink借的是乌克兰人对军队的共情。网站伪装成FPV无人机和军用无人机慈善捐赠平台,基础设施和工具链与PrincessClub共用。第五条Nebo直接画了个俄罗斯军事系统的假登录页面,页面标题是“СПО НЕБО”,很可能想诱使乌克兰军人以为自己真的登进了俄军终端。
这些诱饵的质量和多样性,按WithSecure的分析师的说法,是多种AI工具堆出来的结果。攻击素材不光文字靠语言模型生成,视觉设计也动用了AI绘图。而在恶意软件开发端,AI的参与度同样让研究员感到困惑——四个自定义混淆器名为LOOKVALPS、LOOKVALJS、DAYLIGHT和TEASOUP,技术人员判断它们大概率是在大语言模型辅助下写出来的。
两款基于PowerShell的木马也沾了AI的光。LegionRelay能从受害电脑上偷文件、截屏、窃取浏览器保存的密码、抽走Telegram和WhatsApp的聊天数据,还能悄悄配置RDP远程桌面通道,把机器变成自家后门。另一款PhantomRelay也是PowerShell远控,专门采集系统指纹信息、动态加载脚本,再执行PowerShell和Windows指令。这两样工具,研究员同样认为离不开AI的辅助开发。
在PrincessClub和Nebo两项行动里,GreyVibe还扔进了安卓端的间谍软件FallSpy。这款恶意软件纯粹为情报收集而设,装进手机后就会持续抓取联系人列表。它的存在,让这整套攻击链条的意图更加清晰:不是破坏,而是持续窥探,把每一台感染设备变成情报采集终端。
热门跟贴