Thought Leadership
Der mutmaßlich russische Akteur GreyVibe nutzt KI-Tools wie ChatGPT und Gemini für Cyberangriffe. WithSecure dokumentiert die Kampagnen gegen die Ukraine.
In der Cybersicherheitslandschaft wurde eine Untersuchung über eine neue Bedrohungsgruppe veröffentlicht, die generative künstliche Intelligenz systematisch zur Skalierung ihrer Angriffe einsetzt. Das finnische Sicherheitsunternehmen WithSecure dokumentiert in einem aktuellen Forschungsbericht die Aktivitäten eines bislang nicht öffentlich erfassten Akteurs, der unter der Bezeichnung GreyVibe geführt wird. Die Analysten ordnen die Gruppe mit hoher Zuverlässigkeit dem russischsprachigen Raum zu, da die operativen Aktivitäten und Entwicklungszeiten konsistent in der Moskauer Zeitzone stattfinden. Die genaue Zuordnung, ob es sich um reine Cyberkriminelle, staatlich gelenkte Einheiten oder eine hybride Mischform handelt, bleibt unklar.
Die Zielrichtung der Angriffe zeigt jedoch eine eindeutige geopolitische Ausrichtung. Seit August 2025 visiert GreyVibe primär militärische Einrichtungen, Regierungsbehörden, zivile Institutionen und private Unternehmen in der Ukraine an. Trotz dieser strategischen Fokussierung fanden die Ermittler in frühen Entwicklungsartefakten ungewöhnliche Namenskonventionen, die auf Internet-Slang basieren, wie letsrollboyos oder cuteuwu. Dies deutet darauf hin, dass die Gruppe personell nicht zwingend aus den traditionellen, hochdisziplinierten staatlichen Eliten besteht, sondern möglicherweise aus unabhängigen Akteuren zusammengesetzt ist, die im staatlichen Interesse agieren.
Systematischer Einsatz generativer KI-Modelle in allen Angriffsphasen
Was die Aktivitäten von GreyVibe für das IT-Sicherheitsmanagement im Jahr 2026 besonders relevant macht, ist die intensive und durchgängige Nutzung kommerzieller Werkzeuge aus dem Bereich der künstlichen Intelligenz. Die Gruppe verwendet hochentwickelte Sprach- und Bildmodelle wie Ideogram AI, ChatGPT von OpenAI sowie Google Gemini über alle operativen Phasen einer Kampagne hinweg. Die Technologie dient dem Akteur dazu, gefälschte Webseiten aufzubauen, täuschend echte Phishing-Köder zu entwerfen, maßgeschneiderte Schadsoftware zu entwickeln und Werkzeuge für die Phase nach einer erfolgreichen Systemkompromittierung zu generieren.
Darüber hinaus optimiert die Gruppe mittels KI ihre Obfuskationsskripte und Loader, um die Entdeckung durch signaturbasierte Sicherheitslösungen zu erschweren. Während der Einsatz von künstlicher Intelligenz zur Effizienzsteigerung mittlerweile bei vielen Akteuren beobachtet wird, hebt sich GreyVibe durch die schiere Masse der KI-generierten Komponenten ab. Die generative Technologie ermöglicht es der Gruppe, technische Defizite bei der manuellen Programmierung auszugleichen und Angriffe in einer Frequenz und Vielfalt zu starten, die normalerweise erheblich größere personelle und finanzielle Ressourcen erfordern würde.
Technische Fehler im KI-generierten Schadcode
Trotz der enormen Skalierung durch künstliche Intelligenz offenbarte die Analyse von WithSecure auch die technologischen Grenzen dieses Ansatzes. Bei der Entwicklung der Windows-Schadsoftware namens LegionRelay schlichen sich logische Designfehler in den von den Sprachmodellen generierten Code ein. Große Sprachmodelle neigen bei komplexen Programmieraufgaben gelegentlich zu fehlerhaften Annahmen oder syntaktischen Ungenauigkeiten, wenn diese nicht von erfahrenen Entwicklern manuell überprüft und korrigiert werden.
Diese spezifischen Fehler im Schadcode von LegionRelay ermöglichten es den Sicherheitsforschern, die Spuren von GreyVibe seit Mitte 2025 über einen längeren Zeitraum hinweg präzise zu verfolgen und die Infrastruktur der Gruppe zu analysieren. Solche Fehler im Quellcode sind untypisch für staatliche Elite-Hacker, die ihre Werkzeuge meist von Grund auf manuell schreiben und ausgiebig testen.
„Was GREYVIBE auszeichnet, ist nicht rohes technisches Können, sondern operative Ambition, angetrieben durch KI. Die Gruppe nutzt generative KI, um über ihrer Gewichtsklasse zu kämpfen – sie beschleunigt die Entwicklung, füllt Fähigkeitslücken und erzeugt ein weitgehend neues operatives Profil, das die Verfolgung und Zuordnung erschwert. Es ist eine Vorschau darauf, wie Akteure mit geringerer Komplexität zunehmend agieren werden.“
Mohammad Kazem Hassan Nejad, leitender Bedrohungsanalyst von WithSecure
Die Infektionsketten PhantomRelay und PrincessClub
Die praktischen Angriffsvektoren von GreyVibe sind vielschichtig und stark durch künstliche Intelligenz personalisiert. Die Ermittler identifizierten mindestens sechs eigenständige Spear-Phishing-Kampagnen. Dabei wurden die Opfer über gezielte E-Mails dazu verleitet, kompromittierte ZIP- oder RAR-Archive von bekannten Drittanbieter-Dateihostern wie Google Drive oder 4sync herunterzuladen. Beim Öffnen des Archivs wird ein legitimes Dokument als Ablenkung angezeigt, während im Hintergrund unbemerkt die Infektionskette der Windows-Malware PhantomRelay gestartet wird.
In einer parallel laufenden Kampagne, die von den Forschern als PrincessClub bezeichnet wird, kombinierte die Gruppe Social Engineering mit technischer Infiltration. GreyVibe erstellte mittels KI gefälschte Webseiten von Erotikklubs. Um Opfer auf diese Seiten zu locken, bauten die Angreifer über Dating-Plattformen und den Messenger Telegram mit generierten weiblichen Identitäten gezielt Kontakt zu Zielpersonen auf. Sobald die Opfer die präparierten Webseiten besuchten, wurden sie mit der Android-Schadsoftware Fallspy oder den Windows-Trojanern PhantomRelay und LegionRelay infiziert. Forensische Analysen zeigten zudem, dass GreyVibe einen spezifischen ISO-Builder verwendet, der technologische Verbindungen zum berüchtigten TrickBot-Ökosystem und der Aktivitätsgruppe UAC-0098 aufweist, die in der Vergangenheit ebenfalls intensiv ukrainische Infrastrukturen attackierte.
