A guerra cibernética entre Rússia e Ucrânia ganhou um novo capítulo preocupante em 2025. Um grupo de ameaça até então desconhecido, batizado de GREYVIBE, emergiu com uma abordagem que está redefinindo o que significa ser um atacante de “baixa sofisticação”: em vez de investir anos no desenvolvimento de capacidades técnicas avançadas, o grupo simplesmente usou inteligência artificial generativa para preencher as lacunas. O resultado é uma operação persistente, multivectorial e alarmantemente eficaz.
Neste artigo do Blog Dolutech, analisamos em profundidade o que os pesquisadores da WithSecure descobriram sobre o GREYVIBE, seus arsenais de malware customizado, suas campanhas ativas e o que esse caso significa para o futuro da cibersegurança global.
O Que é o GREYVIBE e Como Foi Identificado
O GREYVIBE é um grupo de ameaça previamente não documentado, atribuído a campanhas persistentes contra a Ucrânia e entidades relacionadas desde pelo menos agosto de 2025. Segundo a WithSecure, trata-se de um grupo russófono que opera amplamente no fuso horário de Moscou, com atividades alinhadas aos interesses do Kremlin, especialmente no que diz respeito à coleta de inteligência no contexto da guerra russo-ucraniana.
Os pesquisadores da WithSecure identificaram o grupo com confiança moderada como operadores de língua russa no fuso horário de Moscou, embora tenham menos certeza sobre se o grupo é de origem criminosa, patrocinado por Estado ou uma combinação dos dois.
O que tornou o GREYVIBE visível para os pesquisadores não foi sua sophisticação, mas justamente o contrário. O grupo introduziu falhas de design no malware LegionRelay, gerado com auxílio de LLM, que inadvertidamente expôs a funcionalidade do backend, permitindo que a WithSecure monitorasse e rastreasse as atividades do grupo por um período prolongado desde meados de 2025.
Outros sinais de descuido operacional incluem o upload de amostras de teste para o VirusTotal durante o desenvolvimento e nomes de artefatos com gírias de internet como “letsrollboyos”, “totallyunsus” e “cuteuwu”.
O Arsenal: Malware Customizado e IA Integrada
O que diferencia o GREYVIBE de grupos similares não é um único exploit sofisticado, mas sim a amplitude e a variedade de ferramentas customizadas desenvolvidas com suporte direto de IA generativa.
PhantomRelay: O RAT Central das Operações
O arsenal de malware do GREYVIBE inclui o PhantomRelay, um RAT modular que utiliza WebSockets para execução de comandos, e o FallSpy, um spyware Android que exfiltra dados sensíveis, incluindo contatos, localização e informações do dispositivo.
O PhantomRelay suporta fingerprinting de sistema, carregamento dinâmico de scripts e execução de comandos PowerShell e Windows. Ele foi o payload central de múltiplas campanhas, sendo entregue por meio de arquivos ZIP e RAR maliciosos hospedados em serviços como Google Drive e 4sync.
LegionRelay: O RAT com Marca de IA
O LegionRelay é um RAT leve baseado em PowerShell que suporta enumeração de arquivos, exfiltração de arquivos, captura de tela, roubo de dados do navegador, exfiltração de dados do Telegram e WhatsApp e configuração de acesso RDP.
O LegionRelay, assim como a infraestrutura de backend que o serve, apresenta fortes indicadores de geração por IA. Os pesquisadores acreditam que algumas das plataformas utilizadas pelos atacantes incluem Ideogram AI, ChatGPT e Google Gemini.
FallSpy: Espionagem Mobile
O FallSpy é um spyware Android. O malware coleta listas de contatos, registros de chamadas, informações de dispositivo e rede, dados de localização, arquivos de mídia e informações de SIM. Ele foi implantado especialmente nas campanhas que envolviam engenharia social via Telegram, com alvos entre combatentes ucranianos.
Os Ofuscadores: DAYLIGHT, TEASOUP e Predecessores
O GREYVIBE desenvolveu e rotacionou quatro ofuscadores customizados ao longo de suas campanhas: LOOKVALPS (PowerShell) nos estágios iniciais, LOOKVALJS (JavaScript) como contraparte em JavaScript, DAYLIGHT (PowerShell) ativo desde outubro de 2025, e TEASOUP (JavaScript), observado a partir de março de 2026.
Os pesquisadores observaram padrões de código gerados por IA nos ofuscadores e loaders como DAYLIGHT e TEASOUP, bem como no desenvolvimento do LegionRelay.
As Campanhas: Cinco Vetores de Ataque Distintos
A WithSecure documentou pelo menos cinco cadeias de ataque distintas operadas pelo GREYVIBE, cada uma com isca e payload próprios.
PhantomMail: Spear-Phishing via Arquivos Compactados
Desde agosto de 2025, o grupo conduziu pelo menos seis campanhas distintas de spear-phishing. Os e-mails enviados às vítimas continham normalmente links para arquivos ZIP ou RAR maliciosos hospedados em serviços de compartilhamento de arquivos de terceiros, como Google Drive e 4sync. Os arquivos continham loaders baseados em PyInstaller ou JavaScript que iniciavam um documento isca enquanto disparavam a cadeia de infecção do PhantomRelay em segundo plano.
PrincessClub: Sites Adultos Falsos como Vetor
Uma campanha notável e persistente, rastreada como PrincessClub, usou sites falsos de clubes adultos ucranianos para entregar o FallSpy em Android e PhantomRelayV1 ou LegionRelay em Windows. A vitimologia confirmada incluiu combatentes ucranianos, com muitas vítimas localizadas em Kharkiv, Ucrânia.
Iterações posteriores dos sites de isca introduziram um recurso de chamada ao vivo baseado em WebRTC, acessível apenas após a infecção, que podia capturar áudio e vídeo da vítima, transformando o site de isca em um mecanismo potencial de coleta de inteligência humana (HUMINT).
O grupo utilizou falsas personas femininas no Telegram, inclusive em canais locais de relacionamento, para construir confiança com as vítimas antes de direcioná-las aos sites de isca ou entregar malware diretamente.
DroneLink: Explorando o Patriotismo Ucraniano
A campanha DroneLink utilizou sites falsos de organizações de caridade militares ucranianas com temática de drones FPV e VANTs, compartilhando infraestrutura e ferramentas com as campanhas PrincessClub.
Nebo: Engenharia Social com Páginas Militares Russas
A campanha Nebo utilizou páginas falsas de login do sistema de comunicações militares russo “СПО НЕБО”, provavelmente projetadas para enganar militares ucranianos fazendo-os acreditar que estavam acessando um terminal militar russo.
ClickFix e Teams Phishing: Expansão Além da Ucrânia
Variantes do PhantomRelay apareceram em uma campanha de voz-phishing via Microsoft Teams e em uma cadeia de entrega ClickFix separada entre fevereiro e março de 2026, aparentemente sem relação com o targeting ucraniano.
IA Como Multiplicador de Força: O Que Isso Significa
O ponto mais significativo da análise da WithSecure não está nos malwares em si, mas no papel estratégico que a IA generativa desempenha nessas operações.
Segundo o pesquisador sênior de inteligência de ameaças da WithSecure, Mohammad Kazem Hassan Nejad, o que diferencia o GREYVIBE não é a habilidade técnica bruta, mas a ambição operacional potencializada por IA. O grupo usa IA generativa para superar suas limitações, acelerando o desenvolvimento, preenchendo lacunas de capacidade e gerando um perfil operacional em grande parte novo que complica o rastreamento e a atribuição.
A WithSecure avalia que o uso de IA serve a três propósitos principais para o GREYVIBE: preenche lacunas de capacidade técnica, acelera o desenvolvimento e o ritmo operacional, e reduz a reutilização de padrões de código que, de outra forma, dariam suporte à atribuição.
Esse último ponto tem implicações sérias para o campo da threat intelligence. Quando um grupo pode continuamente regenerar seu perfil operacional com auxílio de IA, os métodos tradicionais de clustering baseados em artefatos técnicos estáveis tornam-se menos confiáveis ao longo do tempo.
A Dolutech destaca que isso representa uma mudança de paradigma: o ônus sobre os defensores aumenta significativamente quando o atacante pode rotacionar toda sua infraestrutura de código com custo marginal próximo de zero.
Ligações com o Ecossistema Criminoso
A atribuição do GREYVIBE ao Estado russo não é conclusiva, e os pesquisadores apontam indicadores que sugerem uma operação híbrida, envolvendo atores criminosos.
O grupo tem possível acesso a builders ISO com suspeitas de ligação com a gangue TrickBot e o UAC-0098. Variantes do PhantomRelay aparecem em clusters de atividade criminosa aparentemente não relacionados, incluindo campanhas de voz-phishing via Microsoft Teams de julho de 2025 a fevereiro de 2026.
Uma das campanhas implantou um minerador de criptomoedas XMRig em um pequeno número de máquinas infectadas com LegionRelay, comportamento atípico para uma operação de inteligência disciplinada.
Esses sinais, combinados com os erros operacionais documentados, levaram a WithSecure a concluir que se trata de um grupo de sofisticação baixa a moderada com ambições acima de sua capacidade técnica natural, suprida por IA.
Como se Defender: Mitigações Práticas
Diante do perfil multivectorial do GREYVIBE, a defesa precisa ser igualmente abrangente. As recomendações a seguir são baseadas nas descobertas da WithSecure e boas práticas de segurança.
Monitoramento de Tráfego C2
O PhantomRelay utiliza WebSockets e o LegionRelay usa APIs REST para comunicação C2. Monitorar conexões WebSocket de saída incomuns ou tráfego de estilo API para endpoints desconhecidos ajuda a identificar infecções ativas.
Indicadores de Compromisso e Regras YARA
A WithSecure publicou uma lista completa de indicadores de compromisso e regras YARA de detecção em seu repositório no GitHub. Adicionar esses indicadores às suas ferramentas de segurança fornece cobertura de detecção direta para as ferramentas e infraestrutura conhecidas do GREYVIBE.
Controles de E-mail e Arquivos Compactados
Bloquear ou sandboxing automático de arquivos ZIP e RAR provenientes de links externos em e-mails é essencial para interromper a cadeia PhantomMail antes da execução do loader.
Proteção de Endpoints com Detecção Comportamental
Como os obfuscadores do grupo são rotacionados com frequência, soluções baseadas apenas em assinaturas têm limitações. Ferramentas de EDR com detecção comportamental de execução anômala de PowerShell, exfiltração de dados e tráfego WebSocket não convencional são prioritárias.
Conscientização sobre Engenharia Social
A campanha PrincessClub demonstra que vetores não técnicos, como relacionamentos fabricados no Telegram, são tão eficazes quanto os técnicos. Treinamentos específicos para militares, funcionários governamentais e civis em contextos de conflito são fundamentais.
Hardening de Dispositivos Android
Para organizações com usuários em zonas de conflito ou ambientes de alto risco, políticas de MDM (Mobile Device Management) e controle de instalação de aplicativos fora de lojas oficiais são medidas básicas para mitigar o vetor FallSpy.
O Caso GREYVIBE Como Sinal do Futuro
O que observamos no GREYVIBE não é um caso isolado. É uma demonstração em escala real de como grupos com recursos e habilidades limitadas podem operar acima de seu peso técnico quando equipados com ferramentas de IA generativa acessíveis comercialmente.
Pesquisadores alertam que isso representa uma crescente convergência entre inteligência artificial e guerra cibernética moderna, onde as barreiras técnicas para ataques sofisticados estão sendo sistematicamente reduzidas.
Para a comunidade de cibersegurança, o caso GREYVIBE oferece algo valioso: uma janela detalhada para dentro das operações de um grupo que, ao cometer erros operacionais, deixou rastros suficientes para ser estudado a fundo. Não podemos contar que os próximos grupos sejam igualmente descuidados.
A Dolutech reforça que o cenário exige adaptação contínua das defesas, investimento em inteligência de ameaças e, acima de tudo, o reconhecimento de que a IA não é apenas ferramenta dos defensores. Ela já é, como o GREYVIBE demonstra, arma ativa nas mãos de adversários com interesses alinhados a Estados autoritários.
Conclusão
O GREYVIBE representa um marco importante na evolução das ameaças cibernéticas vinculadas à guerra russo-ucraniana. Não por ser tecnicamente invencível, mas por demonstrar um modelo replicável: combine IA generativa com motivação geopolítica e um conjunto básico de malware customizado, e você tem uma operação de espionagem capaz de atacar militares, governo, civis e empresas simultaneamente.
O relatório da WithSecure é uma leitura obrigatória para profissionais de segurança, analistas de ameaças e tomadores de decisão em organizações que operam em contextos geopoliticamente sensíveis. Os IoCs publicados, as regras YARA e os detalhes técnicos divulgados representam um recurso concreto e imediato para fortalecer defesas agora.
Acompanhe o Blog Dolutech para análises contínuas sobre ameaças emergentes, inteligência de ameaças e estratégias de defesa para o ambiente de segurança cada vez mais complexo que todos enfrentamos.
Fontes:
WithSecure Labs https://labs.withsecure.com/publications/greyvibe
The Hacker Newshttps://thehackernews.com/2026/05/new-russian-linked-greyvibe-targets.html
SecurityWeekhttps://www.securityweek.com/russia-linked-greyvibe-attackers-use-ai-to-supercharge-cyberattacks/
BleepingComputerhttps://www.bleepingcomputer.com/news/security/greyvibe-hackers-use-chatgpt-gemini-to-power-cyberattacks/
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
