GREYVIBE là một mối đe dọa mạng đang tăng cường sử dụng các công cụ generative AI như ChatGPT, Google Gemini và Ideogram AI để hỗ trợ chuỗi tấn công. Hoạt động của nhóm được ghi nhận từ ít nhất tháng 8/2025, với mục tiêu chính là Ukraine và các thực thể liên quan trong khu vực chính phủ, quân đội và dân sự. Nghiên cứu cho thấy đây là một chiến dịch tin tức an ninh mạng đáng chú ý vì AI đang được tích hợp sâu vào quy trình tấn công.
Hồ sơ chiến dịch và đặc điểm vận hành
WithSecure xác định GREYVIBE là một nhóm mối đe dọa chưa từng được theo dõi trước đó, nhưng có sự trùng lặp nhất quán về hạ tầng, công cụ và hành vi vận hành qua nhiều chiến dịch. Dù chưa có kết luận quy kết dứt khoát, các dấu hiệu kỹ thuật như artifact tiếng Nga, múi giờ hoạt động theo Moscow và mục tiêu nhắm vào các tổ chức Ukraine cho thấy chiến dịch mang tính định hướng rõ ràng.
GREYVIBE sử dụng chiến lược tấn công đa hướng, kết hợp spear-phishing, trang CAPTCHA giả và website lừa đảo để phát tán mã độc. Trong nhiều trường hợp, kẻ tấn công giả mạo cơ quan chính phủ Ukraine và phân phối tệp nén độc hại qua các dịch vụ đám mây như Google Drive.
Kỹ thuật phát tán và chuỗi xâm nhập
Trong các chiến dịch spear-phishing, tệp đính kèm thường chứa tài liệu mồi nhử, đồng thời khởi tạo chuỗi lây nhiễm bằng custom loader. Mục tiêu của kỹ thuật này là thực thi tài liệu giả để đánh lạc hướng, trong khi tiến trình nền âm thầm tải và chạy payload chính.
Một kỹ thuật khác là sử dụng fake CAPTCHA pages nhằm dụ nạn nhân thực hiện lệnh độc hại dưới danh nghĩa bước xác minh. Cách tiếp cận này làm tăng khả năng vượt qua nhận thức của người dùng, đặc biệt trong các tình huống người dùng tin rằng đang xác thực hợp lệ.
Nhóm cũng vận hành các website giả mạo kiểu “adult club” để lôi kéo người dùng Ukraine, đặc biệt là quân nhân. Các nền tảng này không chỉ phát tán mã độc mà còn phục vụ social engineering thông qua nhân dạng giả trên các nền tảng nhắn tin như Telegram.
Generative AI trong chuỗi tấn công
Một điểm nổi bật của cảnh báo CVE này không phải là một CVE cụ thể, mà là cách GREYVIBE dùng AI để hỗ trợ toàn bộ vòng đời tấn công. ChatGPT, Google Gemini và Ideogram AI được cho là đã được sử dụng để tạo nội dung mồi nhử phishing, phát triển thành phần mã độc và hỗ trợ các hoạt động sau khi xâm nhập.
Nhà nghiên cứu ghi nhận các mẫu mã do AI sinh ra trong những bộ obfuscator và loader như DAYLIGHT và TEASOUP, đồng thời xuất hiện trong quá trình phát triển LegionRelay, một PowerShell-based remote access trojan. Cách làm này giúp nhóm rút ngắn chu kỳ phát triển và giảm phụ thuộc vào mã tái sử dụng.
Tuy nhiên, việc dùng AI cũng làm lộ ra nhiều điểm yếu. GREYVIBE vẫn để lộ các sai sót trong thiết kế và vận hành, làm giảm hiệu quả che giấu và hỗ trợ điều tra kỹ thuật.
Liên kết tham khảo kỹ thuật
Báo cáo gốc từ WithSecure có thể được đối chiếu tại: https://labs.withsecure.com/publications/greyvibe.
Phân tích malware và hành vi exfiltration
Bộ công cụ của GREYVIBE bao gồm PhantomRelay, một modular RAT sử dụng WebSockets để thực thi lệnh, và FallSpy, một spyware trên Android có khả năng trích xuất dữ liệu nhạy cảm như danh bạ, vị trí và thông tin thiết bị. Đây là thành phần quan trọng trong chuỗi rò rỉ dữ liệu của chiến dịch.
LegionRelay mở rộng khả năng bằng cách hỗ trợ đánh cắp tệp tin, chụp ảnh màn hình và trích xuất dữ liệu nhắn tin. Những chức năng này cho thấy trọng tâm của chiến dịch là đánh cắp dữ liệu và duy trì truy cập từ xa, thay vì chỉ phát tán mã độc đơn lẻ.
IOC kỹ thuật đáng chú ý
- ChatGPT – dùng để tạo lure, hỗ trợ phát triển mã độc và hoạt động hậu xâm nhập.
- Google Gemini – tham gia vào hỗ trợ nội dung tấn công và phát triển công cụ.
- Ideogram AI – hỗ trợ tạo nội dung và tài nguyên phục vụ chiến dịch.
- DAYLIGHT – obfuscator/loader có dấu vết mã sinh bởi AI.
- TEASOUP – loader liên quan đến chuỗi triển khai mã độc.
- LegionRelay – PowerShell RAT dùng cho truy cập từ xa và exfiltration.
- PhantomRelay – modular RAT dùng WebSockets.
- FallSpy – spyware Android thu thập dữ liệu thiết bị.
Ảnh hưởng hệ thống và rủi ro bảo mật
Chuỗi xâm nhập của GREYVIBE cho thấy nguy cơ hệ thống bị xâm nhập qua nhiều lớp: email lừa đảo, website giả mạo, tải tệp qua cloud và thực thi loader tùy biến. Khi payload được kích hoạt, kẻ tấn công có thể thiết lập remote code execution, thu thập dữ liệu nhạy cảm và duy trì quyền truy cập dài hạn.
Các dấu hiệu kém về operational security, bao gồm việc tải mẫu thử lên nền tảng công khai và sử dụng công cụ không nhất quán, làm tăng khả năng bị phát hiện xâm nhập. Dù vậy, việc dùng AI vẫn giúp nhóm tăng tốc phát triển và tạo ra biến thể mới nhanh hơn.
Từ góc độ an toàn thông tin, đây là một ví dụ điển hình cho thấy lỗ hổng zero-day không phải lúc nào cũng là điểm khởi đầu của cuộc tấn công; nhiều chiến dịch hiện đại khai thác kỹ thuật xã hội, loader tùy biến và chuỗi exfiltration hơn là phụ thuộc hoàn toàn vào CVE.
Hàm ý cho phát hiện và phòng thủ
Để giảm nguy cơ bảo mật, các hệ thống cần tập trung phát hiện các mẫu hành vi bất thường ở tầng email, trình duyệt và PowerShell. Việc theo dõi các tiến trình tạo bởi loader, kết nối WebSocket lạ và các mẫu exfiltration qua script là hướng quan trọng trong phát hiện tấn công.
Trong môi trường có triển khai IDS và giám sát endpoint, các dấu hiệu như tải tệp nén từ cloud không mong muốn, hành vi CAPTCHA bất thường và thực thi PowerShell sau khi mở tài liệu nên được xem xét như tín hiệu rủi ro. Đây là bề mặt tấn công thường gặp trong các chiến dịch tấn công mạng sử dụng social engineering.
Về vận hành, tổ chức cần ưu tiên cập nhật bản vá, siết chặt lọc email, giới hạn quyền thực thi script và kiểm tra các kết nối ra ngoài bất thường. Với các mẫu ransomware, malware hay RAT, việc phát hiện sớm hành vi là yếu tố quyết định để giảm thiểu thiệt hại.
Tài liệu tham khảo
Đối chiếu thêm với nguồn chính thức của NVD tại: https://nvd.nist.gov/.
Trường hợp này không đi kèm một CVE cụ thể hoặc CVSS được công bố trong nội dung gốc, nên trọng tâm phân tích tập trung vào hành vi chiến dịch, IOC và kỹ thuật xâm nhập.
