СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
29 мая
#ИБ

«Русские» хакеры заставили ChatGPT и Gemini работать на разведку

171Русские187 хакеры заставили ChatGPT и Gemini работать на разведку

изображение: recraft

Русскоязычная хакерская команда GreyVibe собрала рабочую экосистему вредоносных программ и подключила к ней генеративные нейросети. ChatGPT, Google Gemini и Ideogram AI используются для создания приманок, фальшивых страниц и убедительных документов. Основной удар приходится по украинским организациям и структурам, связанным с Украиной.

Кампанию обнаружили специалисты WithSecure в январе 2026 года, хотя активность фиксируется с августа 2025-го. Разбор инфраструктуры, кода и инструментов вывел аналитиков на русскоязычных операторов. На происхождение указывают комментарии внутри программ, язык административных панелей и серверы управления, настроенные по московскому времени.

Подход группы выделяется разнообразием легенд. Вместо одного канала проникновения GreyVibe ведёт параллельные направления, и каждое выглядит самостоятельным проектом со своей инфраструктурой, доменами и вредоносной начинкой.

Среди заметных операций выделяются:

  • PhantomMail — рассылка целевых писем со ссылками на архивы в облаке, внутри лежат поддельные документы и загрузчики, оформление копирует стиль украинских ведомств в сфере связи, энергетики, экстренных служб и госсектора.
  • PhantomClick — поддельные страницы проверки пользователя под Cloudflare, Zoom и другие сервисы, где жертва сама запускает вредоносные команды на своём ПК.
  • PrincessClub — сеть фальшивых сайтов знакомств и взрослого контента под украинскую аудиторию с вымышленными женскими профилями в Telegram.
  • DroneLink — сайты под благотворительные инициативы по теме FPV-дронов и БПЛА, связанные с PrincessClub через общие серверы и инструменты.
  • Nebo — поддельные страницы авторизации, стилизованные под военную систему связи «СПО НЕБО», нацеленные на сбор учётных данных.

Любопытно, что платформа PrincessClub со временем получила функцию перехвата звонков через WebRTC, позволяющую записывать аудио и видео прямо со стороны жертвы.

Под видом флирта в Telegram распространялись Android-шпион FallSpy и две Windows-программы — PhantomRelay и LegionRelay. Аналитики связали PrincessClub и DroneLink в одну экосистему, обнаружив пересечение серверов, доменов и рабочих инструментов.

Значительная часть визуального оформления, текстов и фейковых документов сделана генеративными моделями. ChatGPT, Gemini и Ideogram AI помогли быстро штамповать реалистичные страницы и материалы для социальной инженерии. Атакующие фактически отказались от дизайнеров и копирайтеров, переложив работу на нейросети.

Следы языковых моделей нашлись и в технической части арсенала. Среди пользовательских обфускаторов исследователи называют:

  • LOOKVALPS и LOOKVALJS — утилиты для маскировки вредоносного кода;
  • DAYLIGHT и TEASOUP — инструменты усложнения анализа со стороны защитников;
  • LegionRelay — троян удалённого доступа на PowerShell, при создании которого, по оценке аналитиков, тоже применялись возможности больших языковых моделей.

LegionRelay умеет похищать файлы, делать скриншоты, вытаскивать сохранённые данные браузеров, забирать переписку из Telegram и WhatsApp, а также открывать удалённый доступ по RDP. Его «коллега» PhantomRelay тоже построен на PowerShell, собирает сведения об устройстве, подтягивает дополнительные скрипты и выполняет команды оператора.

Мобильное направление закрывает FallSpy. Программа работает скрытно и заточена под разведку:

  • сбор контактов, журналов вызовов и SMS;
  • доступ к данным о сети и геолокации;
  • выгрузка мультимедийных файлов;
  • считывание сведений с SIM-карты;
  • передача собранного на серверы операторов.

Стоит обратить внимание, что заражённый смартфон фактически превращается в постоянный источник разведданных, который жертва носит при себе круглосуточно.

Масштаб операций, число собственных инструментов и широта легенд выделяют GreyVibe на фоне других русскоязычных команд. При этом аналитики WithSecure отмечают нехватку организованности, технической аккуратности и дисциплины, характерных для самых зрелых кибершпионских структур. Сочетание ИИ, социальной инженерии и собственной линейки вредоносного ПО уже сделало кампанию одной из самых заметных за последние месяцы.

Ранее сообщалось, что русскоязычных хакеров обвинили в многолетних атаках на старые домашние и офисные роутеры. Устройства превращали в скрытую инфраструктуру для перехвата трафика и слежки, под удар попали тысячи маршрутизаторов в 23 странах, а пользователям массово рекомендовали срочно обновить прошивки и проверить настройки.

Эксперты редакции CISOCLUB уверены, что кейс GreyVibe фиксирует новый рабочий стандарт для шпионских команд среднего уровня. Генеративные модели снимают барьер входа в качественную социальную инженерию, и теперь даже не самая дисциплинированная группа выдаёт приманки, неотличимые от настоящих писем госструктур. Параллельное ведение пяти-шести легенд с разными темами — от знакомств до благотворительности и военной связи — показывает, что атакующие осознанно играют на широкой эмоциональной палитре жертвы.

Редакция считает, что украинским организациям и их партнёрам стоит пересматривать политики проверки входящих документов и страниц авторизации с поправкой на ИИ-генерацию. Также напрашивается усиление контроля за PowerShell-активностью на конечных точках, поскольку именно через него работает основная часть арсенала группы. В ближайший год подобных гибридных кампаний станет ощутимо больше, и готовиться к ним нужно уже сейчас.

* Корпорация Meta, владеющая WhatsApp, признана экстремистской организацией и запрещена на территории Российской Федерации.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: