(in)sicurezza digitale

2026-05-29 07:09:57

GreyVibe: il nuovo APT Russia-nexus che usa l’intelligenza artificiale come acceleratore di attacchi contro l’Ucraina

Si parla di:
Toggle

I ricercatori di WithSecure hanno identificato GreyVibe, un threat actor Russia-nexus mai documentato prima, operativo contro l’Ucraina dall’agosto 2025. Il gruppo si distingue per un approccio inedito: l’integrazione sistematica di Large Language Model (LLM) nell’intera catena di attacco, dalla generazione di siti web fasulli ai payload malware, dai template di phishing ai tool post-compromise. Un’ironia operativa ha però esposto il gruppo: i difetti caratteristici del codice generato da LLM all’interno di uno dei loro strumenti principali, LegionRelay, hanno permesso ai ricercatori di tracciare e attribuire l’attività con elevata confidenza.

Profilo di GreyVibe: ambizione operativa, tradecraft non ancora élite

GreyVibe è un threat actor con nexus russo attivo dall’agosto 2025, focalizzato quasi esclusivamente su target ucraini: entità militari, apparati governativi, organizzazioni civili e imprese. L’analisi di WithSecure descrive un gruppo con ambizioni operative significative ma tradecraft ancora lontano dai livelli dei più noti APT russi come APT28 o Sandworm. Quello che GreyVibe manca in sofisticazione tecnica, cerca di compensarlo con la velocità operativa garantita dall’IA: la capacità di generare nuovi lure di phishing, adattare il malware e costruire infrastrutture di supporto in tempi molto più brevi rispetto ai metodi tradizionali.

I ricercatori di WithSecure hanno evidenziato possibili sovrapposizioni con l’ecosistema TrickBot e il cluster UAC-0098, un gruppo già noto per operazioni di spionaggio e sabotaggio contro l’Ucraina documentate da CERT-UA. Questa connessione suggerisce che GreyVibe possa essere un’articolazione nuova o uno spin-off di strutture criminali/statali preesistenti che hanno adottato l’IA per incrementare la loro capacità operativa nel contesto del conflitto.

L’IA come moltiplicatore di forza: LLM nell’intera kill chain

GreyVibe rappresenta un caso di studio su come gli LLM stiano abbassando la barriera di ingresso per operazioni cyber offensive. Il gruppo utilizza i modelli linguistici in modo pervasivo lungo tutta la kill chain. Nella fase di Initial Access, genera siti web fasulli convincenti e template di phishing localizzati in ucraino, con un livello di qualità linguistica che sarebbe difficile da raggiungere senza parlanti madrelingua o tool specializzati. Nella fase di sviluppo malware, gli LLM vengono impiegati per scrivere o adattare rapidamente tool offensivi, abbreviando i tempi di sviluppo. Nella fase post-compromise, gli strumenti di ricognizione e movimento laterale mostrano tracce di assistenza da LLM nella struttura del codice e nella gestione degli errori.

È proprio questo ultimo aspetto ad aver tradito il gruppo. I ricercatori di WithSecure hanno identificato una serie di pattern stilistici nel codice di LegionRelay — schemi di naming, strutture di gestione delle eccezioni, commenti nel codice — tipici del codice generato da LLM. Questi “fingerprint” involontari hanno permesso di collegare tra loro campagne apparentemente distinte e di costruire il profilo del gruppo con un livello di confidenza che normalmente richiede molto più tempo e analisi infrastrutturale.

Il toolkit di GreyVibe: LegionRelay, PhantomRelay e Fallspy

LegionRelay è lo strumento centrale dell’arsenale di GreyVibe, un componente di command-and-control (C2) relay che funge da intermediario tra gli operatori e gli host compromessi, oscurando l’infrastruttura di backend. I difetti nel suo codice, generati dall’LLM utilizzato per svilupparlo, hanno paradossalmente trasformato LegionRelay in un identificatore univoco del gruppo. PhantomRelay è un ulteriore layer di relay C2, utilizzato probabilmente per campagne o target di maggiore sensibilità dove è necessaria un’ulteriore separazione dall’infrastruttura principale. Fallspy è invece un infostealer: il suo nome evoca una capacità di raccolta dati silenziosa e persistente, mirata all’esfiltrazione di credenziali, documenti e informazioni di sistema dagli host compromessi.

Contesto geopolitico: l’IA modifica gli equilibri nel cyber conflitto ucraino

La scoperta di GreyVibe arriva in un momento in cui il conflitto cyber legato alla guerra in Ucraina sta evolvendo su più fronti. Nel maggio 2026, il sito insicurezzadigitale.com ha già documentato l’operazione del gruppo iraniano Ababil of Minab contro infrastrutture GPS statunitensi e la botnet Glassworm che ha preso di mira sviluppatori attraverso npm, PyPI e GitHub. La convergenza di questi trend indica un’accelerazione generalizzata nell’adozione di AI nei toolkit offensivi sia di attori state-sponsored che di cybercriminali. GreyVibe rappresenta il primo caso documentato di un gruppo Russia-nexus che integra gli LLM in modo così sistematico, segnalando che questa capacità sta diventando mainstream anche tra attori di secondo livello.

Per i difensori ucraini e per le organizzazioni che supportano il paese, l’emergere di GreyVibe amplifica una minaccia già densa. La capacità di generare rapidamente nuovi lure, adattare i payload e modificare l’infrastruttura riduce l’efficacia dei tradizionali approcci basati su signature statiche. Le organizzazioni target devono orientarsi verso rilevamenti comportamentali e contestuali, aumentando la resilienza contro campagne di phishing sofisticate e distribuzione di tool come LegionRelay, PhantomRelay e Fallspy.

Due righe per i difensori

Data la natura delle campagne di GreyVibe, le organizzazioni a rischio — in particolare quelle con connessioni all’Ucraina o che operano nel suo supporto — dovrebbero implementare le seguenti misure. È fondamentale potenziare i controlli anti-phishing con analisi comportamentale delle email, prestando particolare attenzione a messaggi con temi militari o governativi ucraini che potrebbero essere lure generati da LLM. Sul fronte endpoint, va monitorata l’attività anomala di relay C2 non classificati, eventuali tool di tunneling inaspettati e accessi a risorse di sistema insolite. A livello di threat intelligence, è consigliabile integrare i IoC pubblicati da WithSecure relativi a LegionRelay, PhantomRelay e Fallspy nei sistemi SIEM e nelle piattaforme di detection. Infine, considerando i legami con l’ecosistema TrickBot e UAC-0098, è opportuno rivedere le regole di detection già in uso per questi cluster e valutare eventuali sovrapposizioni infrastrutturali.

Indicatori di Compromissione (IoC)

## Threat Actor
  Nome: GreyVibe
  Nexus: Russia
  Attivo dal: agosto 2025
  Target principali: Ucraina (militare, governo, civile, business)
  Cluster correlati: TrickBot ecosystem, UAC-0098
  Fonte attribuzione: WithSecure

## Tool identificati
  LegionRelay   - C2 relay (codice con fingerprint LLM)
  PhantomRelay  - C2 relay secondario
  Fallspy       - Infostealer / credential harvester

## MITRE ATT&CK TTP (parziali)
  T1566   - Phishing (campagne con lure generati da LLM)
  T1583   - Acquire Infrastructure (infrastruttura costruita ad hoc)
  T1588.002 - Obtain Capabilities: Tool (tool sviluppati con assistenza LLM)
  T1071   - Application Layer Protocol (comunicazioni C2 via LegionRelay)
  T1041   - Exfiltration Over C2 Channel (Fallspy)

## IoC specifici
  [IoC aggiuntivi saranno pubblicati da WithSecure nel report completo]
  Fonte: WithSecure Threat Intelligence - GreyVibe Campaign Analysis (maggio 2026)

## Fingerprint LLM nel codice (behavioral)
  - Pattern di gestione eccezioni atipici
  - Naming conventions coerenti con output LLM
  - Commenti nel codice con stile narrativo
  - Struttura modulare eccessivamente regolare per codice scritto manualmente

Fonti: WithSecure Threat Intelligence. Per IoC aggiornati fare riferimento al report completo di WithSecure non appena disponibile.

GREYVIBE: A Russia-nexus group leveraging AI across state-aligned operations

WithSecure uncovers GREYVIBE, a Russia-nexus threat group targeting Ukraine with systematic use of generative AI across its attack lifecycle.

^{labs.withsecure.com}