Nhóm hacker GreyVibe liên quan đến Nga tận dụng AI để "nâng cấp" các cuộc tấn công mạng

Nhóm hacker GreyVibe liên quan đến Nga tận dụng AI để "nâng cấp" các cuộc tấn công mạng

Các nhà nghiên cứu bảo mật vừa phát hiện một nhóm mối đe dọa mới có tên GreyVibe, được cho là có liên quan đến Nga, đang sử dụng tích cực các công cụ trí tuệ nhân tạo (AI) để tăng cường hiệu quả cho các hoạt động tấn công mạng của mình. Việc sử dụng AI trong mọi giai đoạn—from xây dựng trang web giả mạo đến phát triển mã độc—đã giúp nhóm này gia tăng đáng kể tốc độ, quy mô và độ tinh vi của các chiến dịch.

Rủi ro từ AI trong tấn công mạng

GreyVibe: Mối đe dọa mới từ khu vực Nga

Theo báo cáo từ WithSecure, GreyVibe là một tác nhân đe dọa chưa được tài liệu hóa trước đây, hoạt động theo múi giờ Moscow và sử dụng ngôn ngữ Nga. Mặc dù các nhà nghiên cứu tin chắc vào nguồn gốc của nhóm này, họ vẫn chưa thể xác định liệu GreyVibe là một nhóm tội phạm mạng thuần túy, một tác nhân nhà nước hay sự pha trộn của cả hai.

Nhóm này bắt đầu nhắm vào các thực thể quân sự, chính phủ, dân sự và doanh nghiệp tại Ukraine từ tháng 8 năm 2025. Mục tiêu tấn công của họ phù hợp chặt chẽ với lợi ích của nhà nước Nga. Tuy nhiên, có những dấu hiệu cho thấy các thành viên của GreyVibe không hoàn toàn là những tay hacker tinh hoa của nhà nước, điển hình là việc họ sử dụng các quy ước đặt tên dựa trên tiếng lóng mạng (như 'letsrollboyos', 'totallyunsus') trong các giai đoạn phát triển ban đầu.

Tận dụng AI để lấp đầy khoảng trống kỹ năng

Điểm nổi bật nhất khiến GreyVibe trở nên khác biệt là việc sử dụng AI cường độ cao trong các hoạt động của mình. Các nhà nghiên cứu phát hiện nhóm này đã sử dụng các công cụ AI hàng đầu như Ideogram AI, ChatGPT và Google Gemini để thực hiện nhiều nhiệm vụ: từ xây dựng trang web giả, tạo nội dung lừa đảo (lures), phát triển mã độc tùy chỉnh cho đến tạo ra các công cụ hậu khai thác.

Mohammad Kazem Hassan Nejad, nhà nghiên cứu tình báo đe dọa cấp cao của WithSecure, nhận định: "Điều khiến GREYVIBE khác biệt không phải là kỹ năng kỹ thuật thô sơ, mà là tham vọng hoạt động được thúc đẩy bởi AI. Nhóm này sử dụng AI tạo sinh để hoạt động vượt quá tầm trọng lượng của họ—tăng tốc độ phát triển, lấp đầy các lỗ hổng năng lực và tạo ra một hồ sơ hoạt động phần lớn mới toanh, gây khó khăn cho việc theo dõi và quy kết."

Tuy nhiên, việc phụ thuộc vào AI cũng dẫn đến những sai sót. WithSecure đã phát hiện các lỗi thiết kế trong mã độc Windows LegionRelay do GreyVibe tạo ra thông qua LLM (Mô hình ngôn ngữ lớn). Những sai lầm này hiếm khi thấy ở các nhóm tấn công tinh hoa, nhưng nó đã cho phép các nhà nghiên cứu theo dõi hoạt động của GreyVibe trong một thời gian dài.

Chiến thuật tấn công đa dạng

Các phương thức tiếp cận ban đầu của GreyVibe rất đa dạng và được hỗ trợ mạnh mẽ bởi AI. Nhóm này đã thực hiện ít nhất sáu chiến dịch spear-phishing (lừa đảo qua email nhắm mục tiêu cụ thể) riêng biệt, hướng nạn nhân đến các tệp lưu trữ ZIP hoặc RAR trên các dịch vụ chia sẻ tệp bên thứ ba như Google Drive và 4sync. Khi nạn nhân mở tệp, một tệp giả mạo sẽ hiện ra để đánh lạc hướng trong khi mã độc PhantomRelay âm thầm cài đặt vào hệ thống.

Bảo mật mạng

Trong một chiến dịch riêng biệt có tên PrincessClub, nhóm này đã sử dụng các trang web câu lạc bộ người lớn giả mạo để phân phối mã độc Fallspy (cho Android) và PhantomRelay hoặc LegionRelay (cho Windows). Nạn nhân bị dẫn dắt bởi các nhân vật nữ giả tạo trên Telegram hoặc các trang web hẹn hò.

Việc sử dụng AI rộng rãi không chỉ giúp GreyVibe bù đắp cho sự thiếu hụt về năng lực mà còn làm giảm "các liên kết ngược lịch sử với các hoạt động trước đây". Điều này khiến việc xác định xem nhóm này đã từng hoạt động dưới tên gọi nào khác trở nên khó khăn, mặc dù WithSecure chưa tìm thấy bằng chứng nào về điều đó.

Tuy nhiên, họ đã phát hiện việc sử dụng một trình tạo ISO độc đáo có thể liên quan đến hệ sinh thái TrickBot và UAC-0098—một cụm hoạt động có khả năng bao gồm các thành viên cũ của TrickBot từng nhắm mục tiêu đến Ukraine.

VớiSecure dự đoán rằng kỹ năng sử dụng AI của GreyVibe sẽ tiếp tục tăng lên trong tương lai, làm tăng độ phức tạp của việc phát hiện, theo dõi và quy kết các cuộc tấn công. Trong bối cảnh địa chính trị hiện tại, việc nhóm này mở rộng hoạt động ra ngoài Ukraine là hoàn toàn có thể xảy ra.