Pular para o conteúdo principal
Tech86 Logo
Fechar
Segurança

GREYVIBE: O Primeiro Caso Forense de IA Comercial na Kill Chain Inteira

Gabriel Ferraresi· CEO | Tech8617 de junho de 20264 min
segurançaiaameaças-cibernéticaskill-chainucrânia

A WithSecure documentou o primeiro caso forense de um grupo de ameaças usando IA comercial em todas as fases da kill chain. O grupo se chama GREYVIBE. Alinhado à Rússia, ativo contra a Ucrânia desde agosto de 2025. E o que torna esse caso diferente não é a presença de IA — é o fato de que a IA não é experimental, é operacional. ChatGPT, Gemini e Ideogram integrados em cada fase do ataque.

A kill chain gerada por IA

Segundo a WithSecure, cada fase da operação do GREYVIBE carrega assinatura de IA comercial. As lures visuais foram geradas por Ideogram — as campanhas PrincessClub e PhantomClick usaram imagens sintéticas com marcas d'água de LLM identificáveis. O conteúdo de phishing em ucraniano foi produzido por ChatGPT e Gemini. Os scripts de obfuscação — LOOKVALPS, LOOKVALJS, DAYLIGHT e TEASOUP — foram desenvolvidos com assistência de IA.

O malware central, LegionRelay, é um RAT em PowerShell que a WithSecure avaliou como "substancial ou integralmente desenvolvido com assistência de IA codificadora." O backend C2, os comandos pós-comprometimento e o tooling de infraestrutura: tudo gerado por IA. Não é um grupo que usa IA para escrever e-mails melhores. É um grupo que usa IA para construir toda a cadeia ofensiva.

Segundo a CiphersSecurity, em análise do relatório da WithSecure, este é "o primeiro caso forense documentado de lures geradas por IA e malware codificado por IA no pipeline operacional ativo de um único cluster de ameaças." Antes, relatórios dependiam de monitoramento de prompts. Aqui, os artefatos estão no código e nas imagens.

Cinco campanhas simultâneas, um modelo operacional

Segundo a WithSecure, o GREYVIBE operou cinco campanhas simultâneas contra alvos ucranianos e europeus:

  • PhantomMail: spear-phishing via Google Drive e 4sync, direcionado a militares e funcionários governamentais
  • PhantomClick: técnica ClickFix com fake CAPTCHA para engajar vítimas em execução de código malicioso
  • PrincessClub: sites falsos de clubes adultos com streaming WebRTC live como isca
  • DroneLink: sites falsos de caridade militar solicitando doação de drones FPV — explorando o esforço de guerra ucraniano
  • Nebo: mímese de login militar russo para enganar militares ucranianos e capturar credenciais

Os alvos concentram-se em militares ucranianos na região de Kharkiv, mas também incluem governo, energia, telecom e serviços de emergência. Organizações europeias também foram atingidas. A diversidade de vetores — spear-phishing, engenharia social, iscas temáticas de guerra, credential harvesting — é incomum para um grupo que a WithSecure classifica como de sofisticação baixa a moderada.

A ironia defensiva: a IA que habilitou também traiu

O LegionRelay gerado por IA tinha falhas de design que deram à WithSecure meses de visibilidade sobre as operações do grupo. Código gerado por IA sem revisão humana introduziu imperfeições exploráveis. Marcas d'água de LLM nas imagens de phishing forneceram prova forense direta. Padrões de código gerado por IA no malware deram visibilidade sustentada aos defensores.

A WithSecure documentou falhas de OpSec significativas: submissão de artefatos de desenvolvimento a plataformas de análise de malware antes da operação, mineradores de criptomoedas em máquinas de vítimas (possível motivação financeira paralela), nomes de artefatos com gíria da internet como "letsrollboyos", "totallyunsus" e "cuteuwu". Isso é ambição operacional com técnica amadora — um grupo que consegue sustentar 5 campanhas simultâneas mas não consegue limpar seus rastros digitais.

O significado é claro: a IA que baixou o piso de entrada também baixou o teto de OpSec. Um grupo de baixa sofisticação produziu output que não conseguiria sem IA — mas as mesmas ferramentas que ampliaram sua capacidade também deixaram assinaturas identificáveis pela defesa.

O que isso significa para a defesa cibernética

Segundo a WithSecure, a IA não torna bons atacantes mais rápidos. Torna atacantes medíocres perigosos. Um grupo classificado como de sofisticação baixa a moderada sustentou 5 campanhas simultâneas com malware custom para Windows, Android e web. Esse é o output que antes exigia uma APT com recursos significativos.

Mas a mesma dinâmica que democratizou o ataque também criou vulnerabilidades exploráveis. Marcas d'água de LLM são identificáveis. Padrões de código gerado por IA são detectáveis. Falhas de OpSec são mais visíveis quando o atacante escala além da sua capacidade nativa.

Na Tech86, incorporamos essa lógica no nosso EDR gerenciado: não buscamos apenas assinaturas conhecidas, mas padrões comportamentais que indicam código gerado por IA, anomalias de OpSec e atividade que escala além da sofisticação esperada do atacante. Quando o piso de entrada cai, a detecção comportamental se torna a linha de defesa mais importante — e as falhas que a IA introduz no código do atacante são exatamente o que nosso monitoramento explora.

Interessado nesta solução?

Conheça nossos serviços gerenciados e infraestrutura.

Conheça EDR Gerenciado

Perguntas Frequentes

O GREYVIBE é um grupo de ameaças alinhado à Rússia, ativo contra a Ucrânia desde agosto de 2025. Segundo a WithSecure, ele é o primeiro caso forense documentado de um grupo usando IA comercial (ChatGPT, Gemini, Ideogram) em todas as fases da kill chain — da geração de lures ao desenvolvimento de malware e infraestrutura C2. A diferença não é experimental: a IA é operacional e integrada em cada etapa.

Segundo a WithSecure, a IA não torna bons atacantes mais rápidos — torna atacantes medíocres perigosos. O GREYVIBE, classificado como sofisticação baixa a moderada, sustentou 5 campanhas simultâneas com malware custom para Windows, Android e web. Output que não conseguiria produzir sem IA. Mas a mesma IA que baixou o piso de entrada também baixou o teto de OpSec: marcas d'água de LLM nas imagens e padrões de código gerado por IA no malware deram visibilidade sustentada aos defensores.

Segundo a WithSecure, o GREYVIBE operou cinco campanhas simultâneas: PhantomMail (spear-phishing via Google Drive e 4sync), PhantomClick (ClickFix com fake CAPTCHA), PrincessClub (sites falsos de clubes adultos com WebRTC live), DroneLink (sites falsos de caridade militar para doação de drones FPV) e Nebo (mímese de login militar russo para enganar militares ucranianos). Os alvos concentram-se em militares ucranianos na região de Kharkiv, além de governo, energia, telecom e emergências.

Segundo a WithSecure, o LegionRelay gerado por IA tinha falhas de design que deram meses de visibilidade sobre as operações do grupo. Código gerado por IA sem revisão humana introduziu imperfeições exploráveis pela defesa. Marcas d'água de LLM nas imagens de phishing forneceram prova forense. Padrões de código gerado por IA no malware permitiram detecção sustentada. A CiphersSecurity, em analise do relatorio da WithSecure, classificou como o primeiro caso forense documentado de lures geradas por IA e malware codificado por IA no pipeline operacional ativo de um único cluster de ameaças.

Blog — Fale Conosco

Tem alguma pergunta sobre nossos artigos ou serviços? Nossa equipe está pronta para ajudar.

Agendar Reunião

Reserve um horário.

Agendar Agora

E-mail

Envie uma mensagem.

[email protected]

WhatsApp

Conversa rápida.

Endereço

Avenida Paulista, 1636 - São Paulo - SP - 01310-200

Especialista Tech86

Online agora

Olá! Como podemos ajudar a escalar seu negócio hoje?

Tech86 Engineering

Nós valorizamos sua privacidade

Utilizamos cookies e tecnologias similares para otimizar a sua experiência, analisar o tráfego do site e personalizar conteúdo. Ao clicar "Aceitar Todos", você concorda com o uso de todos os cookies. Leia nossa Política de Privacidade.