GREYVIBE: Nhóm hacker liên kết Nga sử dụng ChatGPT và AI để tấn công Ukraine

Các nhóm gián điệp mạng có liên kết với Nga dường như đang ngày càng phụ thuộc vào các công cụ trí tuệ nhân tạo (AI) để hỗ trợ xây dựng phần mềm độc hại, thiết lập cơ sở hạ tầng và tạo ra các mồi nhử cho các cuộc tấn công nhằm vào các mục tiêu tại Ukraine.

Các nhà nghiên cứu tại WithSecure cho biết một nhóm mối đe dọa chưa được ghi nhận trước đây, được theo dõi dưới tên gọi "GREYVIBE", đã sử dụng ChatGPT của OpenAI, Gemini của Google và Ideogram AI trong hầu hết mọi giai đoạn hoạt động nhắm vào Ukraine. Chiến dịch này đã tấn công vào các tổ chức quân sự, chính phủ, dân sự và doanh nghiệp kể từ ít nhất là tháng 8 năm 2025.

Tích hợp AI sâu rộng trong quy trình tấn công

Theo báo cáo, GREYVIBE đã sử dụng các email spear-phishing (giả mạo email nhắm mục tiêu cụ thể), trang CAPTCHA giả và các trang web câu lạc bộ người lớn Ukraine giả mạo để dụ nạn nhân cài đặt phần mềm độc hại. Các nhà nghiên cứu đã liên kết hoạt động này với các nhà điều hành nói tiếng Nga nằm trong múi giờ Moscow, những người theo đuổi các mục tiêu phù hợp với lợi ích tình báo của Nga.

Tuy nhiên, điều khiến các nhà nghiên cứu chú ý nhất là mức độ mà AI dường như được lồng ghép xuyên suốt chiến dịch này.

WithSecure cho biết họ đã tìm thấy "bằng chứng mạnh mẽ" cho thấy GREYVIBE dựa một cách có hệ thống vào các công cụ AI để phát triển mồi nhử, tạo mã độc, thiết lập hạ tầng, công cụ che giấu mã (obfuscation) và hoạt động sau khi xâm nhập. Công ty nhận định rằng việc sử dụng AI của nhóm này dường như "được tích hợp về mặt vận hành thay vì bị cô lập hay mang tính thử nghiệm".

"Việc sử dụng rộng rãi GenAI và LLM là một khía cạnh đáng chú ý trong kỹ thuật của nhóm này," Mohammad Kazem Hassan Nejad, nhà nghiên cứu tình báo mối đe dọa cấp cao tại WithSecure, viết trong báo cáo.

Nhóm này dường như sử dụng AI không chỉ cho các nhiệm vụ phát triển riêng lẻ, mà còn trên nhiều giai đoạn vận hành khác nhau. Điều này có thể giúp nhóm bù đắp các khoảng trống về năng lực, tăng tốc chu kỳ phát triển và giảm thiểu các liên kết lịch sử với các hoạt động trước đó.

Sai lầm nghiệp vụ dù có công nghệ hỗ trợ

Mặc dù có sự hỗ trợ của các công cụ AI hiện đại, GREYVIBE khó có thể được coi là một đội ngũ gián điệp mạng tinh nhuệ. WithSecure cho biết các nhà điều hành liên tục mắc sai lầm về an ninh vận hành (OPSEC), bao gồm việc tải phần mềm độc hại lên các dịch vụ công cộng và để lại các hiện vật phát triển với những cái tên gây cười như "letsrollboyos", "totallyunsus" và "cuteuwu".

Trong một sai lầm đặc biệt nghiêm trọng, các nhà nghiên cứu cho biết các lỗi thiết kế trong phần mềm độc hại LegionRelay của GREYVIBE - mà họ nghi ngờ được phát triển với sự hỗ trợ của LLM - đã vô tình làm lộ một phần cơ sở hạ tầng backend của nhóm. Điều này cho phép các nhà nghiên cứu theo dõi hoạt động của nhóm trong một thời gian dài.

Báo cáo được đưa ra trong bối cảnh các nhà cung cấp bảo mật tiếp tục tranh luận về việc liệu AI sẽ tạo ra một thế hệ các chuyên gia mạng tinh hoa mới hay đơn giản là làm cho tội phạm hiện tại nhanh hơn và năng suất hơn. Dựa trên trường hợp của GREYVIBE, có vẻ như xu hướng hiện tại đang nghiêng về phía thứ hai: AI giúp tội phạm làm việc nhanh hơn, nhưng không nhất thiết giúp họ trở nên hoàn hảo hơn.