مجموعة GREYVIBE الروسية تستهدف أوكرانيا بهجمات سيبرانية مدعومة بالذكاء الاصطناعي

مجموعة GREYVIBE الروسية تستهدف أوكرانيا بهجمات سيبرانية مدعومة بالذكاء الاصطناعي
مجموعة GREYVIBE الروسية تستهدف أوكرانيا بهجمات سيبرانية مدعومة بالذكاء الاصطناعي
شارك هذا الخبر

كشفت شركة WithSecure عن مجموعة تهديد جديدة غير موثقة سابقًا تُعرف باسم GREYVIBE، يُعتقد أنها ناطقة بالروسية وتعمل ضمن النطاق الزمني الروسي، مع أنشطتها المتوافقة مع مصالح الكرملين في جمع المعلومات الاستخباراتية ضد أوكرانيا في سياق الحرب الروسية-الأوكرانية المستمرة.
بدأت هجمات المجموعة منذ أغسطس 2025، واستهدفت مؤسسات عسكرية وحكومية ومدنية وتجارية، ما يعكس نطاقًا واسعًا من الضحايا.

أساليب الهجوم وسلاسل العدوى

اعتمدت GREYVIBE على عدة سلاسل هجوم متنوعة:

  • PhantomMail: رسائل تصيّد موجّه تحتوي روابط لأرشيفات خبيثة على Google Drive و4sync، تتضمن محمّلات جافاسكربت تُطلق مستندات وهمية.
  • PhantomRelay: حصان طروادة عبر PowerShell قادر على جمع بيانات الجهاز وتنفيذ أوامر ويندوز.
  • PhantomClick: صفحات CAPTCHA مزيفة على نطاقات تنتحل منصات مثل Zoom، لخداع المستخدمين وتشغيل سلاسل عدوى.
  • PrincessClub: مواقع وهمية لأندية أوكرانية للكبار، تُوزّع برمجية FallSpy على أندرويد وLegionRelay أو PhantomRelayV1 على ويندوز، مع ميزات لاحقة لالتقاط الصوت والفيديو عبر WebRTC.
  • DroneLink: مواقع تنتحل مؤسسات خيرية لدعم الجيش الأوكراني، تُوزّع برمجيات مثل WireGuard وLegionRelay.
  • Nebo: نسخة من FallSpy تُظهر شاشة دخول باللغة الروسية لخداع العسكريين الأوكرانيين.
دور الذكاء الاصطناعي في تطوير الهجمات

أظهرت الأدلة أن المجموعة تستخدم منصات الذكاء الاصطناعي التوليدي (GenAI) مثل ChatGPT، Google Gemini، Ideogram AI لتطوير أدواتها، بما في ذلك برمجية LegionRelay، تقنيات التمويه، البنية التحتية الخلفية، وأوامر ما بعد الاختراق.
هذا الاستخدام يمنحها مزايا مثل سد فجوات الخبرة التقنية، تسريع دورة التطوير، وتقليل الاعتماد على أدوات معروفة قد تُسهّل عملية الإسناد.
لكن في المقابل، أدّى ذلك إلى ظهور ثغرات تصميمية في LegionRelay، ما يكشف عن ضعف في مستوى الاحترافية ويُشير إلى أن المجموعة ليست جهة دولة خالصة بل ربما كيان هجين.

ارتباطات مع عالم الجريمة الإلكترونية

رغم الطابع المرتبط بالدولة، فإن GREYVIBE تُظهر روابط مع النظام الإجرامي السيبراني الأوسع:

  • استخدام أدوات مرتبطة بعصابة TrickBot وUAC-0098.
  • ظهور نسخ من PhantomRelay في حملات تصيّد عبر Microsoft Teams وفي سلاسل توزيع أخرى مثل KongTuke.
  • رفع عينات أولية إلى VirusTotal.
  • استخدام أسماء ملفات بلغة الإنترنت مثل “letsrollboyos” و”cuteuwu”.
  • نشر برنامج تعدين XMRig على بعض الأجهزة المصابة.
منطقة رمادية بين الدولة والجريمة

تُقيّم WithSecure أن المجموعة تقع في منطقة رمادية بين النشاط السيبراني المرتبط بالدولة والجريمة الإلكترونية، ما يُعقّد جهود الإسناد ويُطمس الحدود التقليدية بين الفئتين.
قد يكون بعض أفرادها مجرمين سابقين تم دمجهم في نشاط مدعوم من الدولة، أو يعملون بشكل مستقل تحت تكليف رسمي، أو يشكلون فريقًا هجينًا يجمع بين الاثنين.

وسوم
محمد طاهر
محمد طاهر
المقالات: 1596

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة