GREYVIBE mira alvos ucranianos com cadeias de ataque apoiadas por IA generativa

Ator russofono combina spear phishing, páginas falsas de CAPTCHA, sites fraudulentos e ferramentas próprias para entregar RATs, spyware Android e componentes PowerShell contra entidades ligadas à Ucrânia.

Componente	Operações do ator GREYVIBE, incluindo PhantomMail, PhantomClick, PrincessClub, DroneLink, Nebo, PhantomRelay, PhantomRelayV1, LegionRelay e FallSpy.
Vetor	Spear phishing com arquivos ZIP ou RAR em serviços de hospedagem, páginas falsas de CAPTCHA no estilo ClickFix, sites fraudulentos de clubes adultos ucranianos e páginas que simulam fundações de apoio às Forças Armadas da Ucrânia.
Impacto	Perfilamento de hosts, execução remota via PowerShell, enumeração e exfiltração de arquivos, captura de tela, roubo de dados de navegador, coleta de dados de Telegram e WhatsApp, spyware Android e possível configuração de acesso RDP quando a cadeia obtém execução no endpoint.
Prioridade	Bloquear cadeias de entrega baseadas em arquivos compactados e páginas falsas, revisar telemetria de PowerShell e navegador, caçar artefatos PhantomRelay e LegionRelay e isolar hosts com sinais de persistência ou mineração XMRig.
Artefatos	A atividade inclui loaders JavaScript, RATs PowerShell, obfuscadores e componentes de backend possivelmente acelerados por ferramentas de IA generativa.
Alvos	O recorte de vítimas inclui organizações militares, governamentais, civis e empresariais associadas à Ucrânia ou a interesses ucranianos desde pelo menos agosto de 2025.

Resumo técnico

GREYVIBE é descrito como um ator antes não documentado, de operação persistente contra a Ucrânia e entidades relacionadas ao país desde pelo menos agosto de 2025. A atividade é associada a operadores russófonos que trabalham em horário compatível com o fuso russo e cuja seleção de alvos se alinha a interesses estratégicos do Kremlin no contexto da guerra russo-ucraniana. A atribuição, porém, não é tratada como simples extensão estatal: o conjunto observado fica em uma área intermediária entre atividade afiliada a Estado e práticas do ecossistema cibercriminoso russo.

O grupo usa vários caminhos de entrega em paralelo. Em algumas campanhas, mensagens de spear phishing encaminham a vítima a arquivos compactados hospedados em serviços legítimos de compartilhamento. Em outras, páginas falsas de CAPTCHA exploram o padrão ClickFix, no qual a interação socialmente induzida tenta levar o usuário a acionar uma cadeia de infecção. Também há iscas temáticas com sites fraudulentos, incluindo páginas de clubes adultos ucranianos, fundações falsas de apoio às Forças Armadas da Ucrânia e telas que imitam um login em russo, provavelmente para enganar militares ucranianos. O resultado é uma operação heterogênea, com malware para Windows e Android e com forte dependência de componentes próprios.

A atividade apresenta evidências de uso de IA generativa e modelos de linguagem para acelerar criação de imagens, desenvolvimento de componentes, ofuscação, loaders, infraestrutura de backend e comandos pós-comprometimento. Esse apoio parece reduzir o custo de desenvolvimento e permitir substituição frequente de artefatos, mas também introduziu falhas de desenho em LegionRelay que expuseram funcionalidades de backend. Essa combinação sugere um operador com capacidade real de conduzir campanhas, mas sem a disciplina operacional esperada de um ator estatal altamente maduro.

Fluxo técnico

A cadeia PhantomMail começa com e-mails direcionados que distribuem links para arquivos ZIP ou RAR hospedados em Google Drive e 4sync. Dentro dos arquivos, loaders baseados em JavaScript abrem um documento isca e iniciam a infecção por PhantomRelay. PhantomRelay é um RAT baseado em PowerShell usado para perfilar o host e executar scripts PowerShell e comandos do Windows. Por conformidade defensiva, os detalhes operacionais e comandos executáveis não são reproduzidos; o ponto de interesse para a defesa é a sequência entre arquivo compactado, loader JavaScript, documento isca e execução PowerShell subsequente.

A cadeia PhantomClick usa páginas falsas de CAPTCHA em domínios que se passam por marcas como Zoom e LAPAS. O mecanismo segue o estilo ClickFix: a página cria uma justificativa falsa para que a vítima realize uma ação local que inicia a infecção. O efeito final observado é a instalação de PhantomRelay. Esse fluxo é importante porque o gatilho não depende apenas de exploração técnica tradicional; ele mistura engenharia social, abuso de confiança em páginas conhecidas e execução local induzida.

PrincessClub usa sites fraudulentos de clubes adultos ucranianos para entregar FallSpy em Android e PhantomRelayV1 ou LegionRelay em Windows. Iterações posteriores desses sites adicionaram uma função de chamada ao vivo baseada em WebRTC para capturar áudio e vídeo da vítima. FallSpy atua como spyware Android capaz de coletar dados sensíveis do dispositivo comprometido. LegionRelay, por sua vez, é um RAT leve baseado em PowerShell com recursos de enumeração e exfiltração de arquivos, captura de tela, roubo de dados de navegador, coleta de dados de Telegram e WhatsApp e preparação de acesso RDP. PhantomRelayV1 é uma variante de PhantomRelay com mecanismo de persistência watchdog personalizado.

DroneLink usa sites que simulam fundações de caridade de apoio às Forças Armadas da Ucrânia para entregar WireGuard e LegionRelay. Nebo usa uma amostra FallSpy com aparência de tela de login em russo, provavelmente para sugerir à vítima que ela acessa um terminal militar russo. Em conjunto, essas cadeias mostram adaptação temática ao conflito, alternância entre Windows e Android e reaproveitamento de marcas, causas e conteúdo adulto como iscas.

Superfície afetada

A superfície de risco se concentra em organizações militares, órgãos governamentais, entidades civis e empresas com relação direta ou indireta com a Ucrânia. Usuários expostos a e-mails direcionados, páginas de CAPTCHA falsas, sites de relacionamento ou conteúdo adulto fraudulento e páginas de caridade ligadas ao tema militar aparecem como pontos de entrada. Como parte das cargas roda em PowerShell, endpoints Windows com execução de scripts permissiva, pouca visibilidade de processos-filho e ausência de controle sobre downloads de arquivos compactados ficam especialmente sensíveis.

A presença de FallSpy amplia a superfície para dispositivos Android usados por alvos de interesse. Já LegionRelay e PhantomRelay elevam o risco em estáções Windows, principalmente quando o usuário tem acesso a dados de navegador, mensageiros, arquivos locais ou sessões que possam facilitar acesso remoto. O uso de XMRig em pequeno número de máquinas infectadas por LegionRelay também indica que alguns hosts podem apresentar sintomas de abuso computacional, além das funções de espionagem e controle remoto.

Há ainda vínculos técnicos e operacionais que conectam GREYVIBE ao ecossistema cibercriminoso. Entre eles estão possível acesso a um construtor ISO com suspeita de relação com TrickBot e UAC-0098, presença de variantes PhantomRelay em agrupamentos de atividade aparentemente distintos, uma campanha de vishing por Microsoft Teams entre julho de 2025 e fevereiro de 2026, uma cadeia KongTuke entre o fim de fevereiro e o fim de março de 2026 que usou ClickFix para distribuir o malware e convenções de nomes informais em artefatos de desenvolvimento.

Organizações ucranianas ou relacionadas à Ucrânia em setores militar, governamental, civil e empresarial.
Endpoints Windows que permitem execução de JavaScript local, PowerShell e abertura de arquivos compactados recebidos por links externos.
Dispositivos Android expostos a aplicativos ou telas falsas associados a iscas militares ou temáticas.
Usuários induzidos por páginas falsas de CAPTCHA, sites de videoconferência, páginas LAPAS falsas, clubes adultos fraudulentos e falsas fundações de apoio militar.

Hunting e telemetria

A caça deve priorizar a relação temporal entre navegação para páginas suspeitas, download de ZIP ou RAR, criação de processos JavaScript e acionamento de PowerShell. Em campanhas PhantomMail, o padrão defensivo relevante é arquivo compactado vindo de serviço de hospedagem, documento isca aberto logo depois e processo de script disparando atividade de reconhecimento ou execução remota. Em PhantomClick, o sinal-chave é a interação com página falsa de CAPTCHA seguida de execução PowerShell ou criação de processo fora do fluxo normal do navegador.

Em endpoints Windows, operadores devem revisar eventos de PowerShell com scripts codificados, comandos incomuns, criação de tarefas ou mecanismos de watchdog, enumeração de arquivos, captura de tela, acesso a perfis de navegador e tentativa de preparação de RDP. Também é relevante correlacionar consultas a diretórios de Telegram e WhatsApp, acesso a bancos locais de navegador e tráfego de saída iniciado por processos de script. Em Android, a defesa deve observar instalação de aplicativos fora dos canais esperados, permissões excessivas, telas de login fraudulentas e coleta anômala de dados sensíveis.

Na rede, os sinais tendem a ser mais comportamentais do que baseados em indicadores fixos, porque o uso de IA generativa pode acelerar refatoração e substituição de componentes. Isso reduz a confiabilidade de agrupamentos baseados em artefatos estáveis, nomes de arquivo ou pequenas semelhanças de código. A telemetria deve priorizar cadeia causal, origem do download, sequência de processos, persistência, acesso a dados sensíveis e comunicação de ferramentas recém-criadas, em vez de depender apenas de assinaturas estáticas.

Download de ZIP ou RAR a partir de serviços de hospedagem seguido por loader JavaScript e execução PowerShell.
Processos de navegador que antecedem ações locais associadas a páginas falsas de CAPTCHA no estilo ClickFix.
Execução de PowerShell com perfilamento de host, enumeração de arquivos, captura de tela ou acesso a dados de navegador e mensageiros.
Sinais de persistência watchdog associados a variantes PhantomRelayV1.
Instalação Android suspeita com coleta de dados sensíveis ou tela de login em russo usada como isca.
Uso de XMRig em hosts que também exibam rastros de LegionRelay ou atividade de RAT.

Mitigação

A resposta deve começar pela contenção de endpoints com evidência de PhantomRelay, PhantomRelayV1, LegionRelay, FallSpy ou XMRig associado à cadeia. Hosts afetados precisam ser isolados antes da coleta forense para preservar processos, scripts, arquivos baixados, histórico de navegação, eventos PowerShell, tarefas de persistência e artefatos de usuário. Como os RATs descritos podem coletar arquivos, dados de navegador e mensagens, a investigação deve incluir revisão de credenciais salvas, sessões ativas e permissões de contas utilizadas no endpoint comprometido.

No controle preventivo, a organização deve endurecer execução de scripts, restringir PowerShell a perfis auditáveis, bloquear execução de JavaScript local a partir de diretórios de usuário quando aplicável e inspecionar arquivos compactados recebidos por links externos. Navegadores e proxies devem classificar páginas falsas que imitam CAPTCHA, videoconferência, serviços locais e fundações de apoio. Campanhas de conscientização precisam focar o mecanismo de indução de execução, sem reproduzir comandos operacionais, deixando claro que páginas de verificação falsas podem tentar transformar o usuário no gatilho da cadeia.

Para Android, a mitigação passa por política de instalação controlada, revisão de permissões, detecção de spyware e remoção de aplicativos suspeitos. Para Windows, a validação pós-contenção deve confirmar ausência de persistência watchdog, ausência de tarefas ou scripts remanescentes, ausência de configuração RDP não autorizada e ausência de mineração. Como o ator pode gerar e substituir componentes com auxílio de IA, a validação deve combinar detecção comportamental, bloqueios por política e revisão contínua de telemetria, não apenas busca por nomes de artefatos conhecidos.

Isolar hosts com sinais de RAT, spyware, persistência watchdog ou mineração XMRig antes de limpar artefatos.
Coletar eventos PowerShell, histórico de downloads, arquivos compactados, loaders JavaScript, processos-filho do navegador e evidências de acesso a dados de mensageiros.
Restringir execução de scripts em diretórios de usuário e reforçar logging de PowerShell, criação de processos e alterações de RDP.
Bloquear páginas falsas de CAPTCHA, domínios de isca e downloads de arquivos compactados não confiáveis por proxy, EDR e gateway de e-mail.
Revisar credenciais, sessões de navegador, tokens locais e contas usadas em máquinas onde LegionRelay ou PhantomRelay tenham sido executados.
Aplicar controles de instalação em Android e investigar permissões excessivas em aplicativos associados a iscas militares ou telas falsas.

GREYVIBE mira alvos ucranianos com cadeias de ataque apoiadas por IA generativa

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

GREYVIBE mira alvos ucranianos com cadeias de ataque apoiadas por IA generativa

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato