Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Amenaza persistente avanzada (APT) Actor de amenazas GREYVIBE

Actor de amenazas GREYVIBE

Por Mezo en Amenaza persistente avanzada (APT), Software malicioso
Traducir a:

Un grupo de ciberdelincuentes hasta ahora desconocido, conocido como GREYVIBE, ha sido vinculado a una campaña sostenida de ciberespionaje dirigida contra Ucrania y organizaciones relacionadas con el país desde al menos agosto de 2025. Los análisis sugieren que el grupo opera principalmente en la zona horaria rusa y se comunica en ruso. Sus actividades coinciden plenamente con los intereses del Estado ruso, en particular con las labores de recopilación de inteligencia relacionadas con el conflicto ruso-ucraniano en curso.

GREYVIBE ha atacado a una amplia gama de sectores, incluyendo instituciones militares, agencias gubernamentales, organizaciones civiles y empresas privadas. Si bien las operaciones del grupo presentan características propias de la actividad de un Estado, la evidencia también apunta a conexiones con el panorama cibercriminal ruso en general, a través de individuos que se cree que son o fueron ciberdelincuentes.

Diversos métodos de infección y un arsenal de malware personalizado

El atacante emplea diversos mecanismos para comprometer a sus víctimas. Entre ellos se incluyen campañas de spear-phishing altamente dirigidas, páginas de verificación CAPTCHA engañosas y sitios web fraudulentos de entretenimiento para adultos con temática ucraniana. En todas sus operaciones, GREYVIBE recurre sistemáticamente a malware, cargadores y herramientas de ofuscación desarrollados internamente para evadir la detección y mantener el acceso a los sistemas comprometidos.

Se han observado varios marcos de ataque distintos:

  • PhantomMail distribuye archivos ZIP y RAR maliciosos mediante correos electrónicos de spear-phishing que contienen enlaces alojados en Google Drive y 4sync. Estos archivos incluyen cargadores JavaScript que ejecutan documentos señuelo mientras despliegan PhantomRelay, un troyano de acceso remoto (RAT) basado en PowerShell capaz de realizar reconocimiento del sistema y ejecutar comandos de forma remota.
  • PhantomClick utiliza páginas CAPTCHA falsas al estilo ClickFix, alojadas en dominios que imitan servicios como Zoom y LAPAS. Las víctimas son manipuladas para ejecutar comandos que activan la cadena de infección PhantomRelay.
  • PrincessClub utiliza sitios web falsos de clubes para adultos ucranianos para distribuir el software espía FallSpy en dispositivos Android y PhantomRelayV1 o LegionRelay en sistemas Windows. Las versiones posteriores de estos sitios web incorporaron la funcionalidad de llamadas en directo basadas en WebRTC para capturar el audio y el vídeo de las víctimas. FallSpy es capaz de recopilar información confidencial de dispositivos Android infectados, mientras que LegionRelay admite la detección de archivos, el robo de datos, la captura de pantallas, la extracción de credenciales del navegador, la recopilación de datos de Telegram y WhatsApp, y la configuración del Protocolo de Escritorio Remoto (RDP). PhantomRelayV1 amplía las funcionalidades del PhantomRelay original añadiendo un mecanismo de persistencia de vigilancia personalizado.
  • DroneLink se hace pasar por una organización benéfica que apoya a las Fuerzas Armadas de Ucrania y ofrece WireGuard junto con LegionRelay.
  • Nebo despliega una variante de FallSpy disfrazada de portal de inicio de sesión en ruso, probablemente con la intención de engañar al personal militar ucraniano haciéndoles creer que están accediendo a un sistema militar ruso legítimo.

La inteligencia artificial como multiplicador de fuerza

Uno de los aspectos más destacables de las operaciones de GREYVIBE es su aparente dependencia de la inteligencia artificial generativa y los modelos de lenguaje complejos para potenciar sus capacidades ofensivas. La evidencia sugiere que el grupo ha utilizado plataformas como Ideogram AI, OpenAI ChatGPT y Google Gemini para la generación de imágenes, el desarrollo de malware, la ofuscación de scripts, la creación de infraestructura de backend y las operaciones posteriores a la intrusión.

Este enfoque asistido por IA ofrece varias ventajas operativas. Ayuda a compensar las deficiencias en las habilidades técnicas, acelera los ciclos de desarrollo y reduce la dependencia de familias de malware y herramientas previamente identificadas que podrían facilitar la atribución.

El uso cada vez mayor de la IA en las operaciones cibernéticas supone un desafío importante para los defensores. Los ciberdelincuentes pueden generar, modificar o reemplazar rápidamente componentes de sus herramientas, lo que reduce la eficacia de los métodos de atribución tradicionales que se basan en indicadores técnicos estables y artefactos de malware recurrentes.

Las debilidades operativas revelan deficiencias en el desarrollo.

A pesar de haberse beneficiado del desarrollo asistido por IA, GREYVIBE ha demostrado múltiples deficiencias en su seguridad operativa. Los investigadores identificaron fallos de diseño en LegionRelay que expusieron inadvertidamente la funcionalidad del servidor, lo que permitió comprender el funcionamiento interno del malware.

Estos errores son poco comunes entre actores estatales altamente sofisticados, lo que sugiere que GREYVIBE podría no representar una operación de inteligencia tradicional. En cambio, el grupo parece tener un nivel de sofisticación técnica entre bajo y moderado, al tiempo que utiliza tecnologías de IA para potenciar sus capacidades más allá de su nivel de habilidad inherente.

Indicadores de conexiones con ciberdelincuentes

Diversos hallazgos sugieren que GREYVIBE mantiene vínculos con el ecosistema más amplio del cibercrimen ruso:

  • Acceso o uso de una utilidad de construcción ISO asociada con presuntos vínculos con la banda TrickBot y UAC-0098.
  • Detección de variantes de PhantomRelay en campañas ciberdelictivas aparentemente no relacionadas, incluidas operaciones de suplantación de identidad por voz a través de Microsoft Teams realizadas entre julio de 2025 y febrero de 2026, y campañas de distribución de KongTuke observadas entre febrero y marzo de 2026 que emplearon técnicas de ClickFix.
  • Carga de muestras de desarrollo y pruebas en fase inicial.
  • Uso de jerga informal de internet como 'letsrollboyos', 'totallyunsus' y 'cuteuwu' en las convenciones de nomenclatura de artefactos de desarrollo.
  • Despliegue del minero de criptomonedas XMRig en un número limitado de sistemas infectados con LegionRelay.

Estos indicadores respaldan una evaluación de confianza moderada de que GREYVIBE tiene vínculos significativos con redes de ciberdelincuencia y una evaluación de confianza baja a moderada de que algunos miembros pueden estar involucrados actualmente, o haber estado involucrados anteriormente, en actividades de ciberdelincuencia.

Desdibujando la línea entre las operaciones estatales y las criminales

La naturaleza exacta de la relación de GREYVIBE con el Estado ruso sigue siendo incierta. Existen varias posibilidades, entre ellas la integración de personal ciberdelincuente en una organización respaldada por el Estado, operadores independientes que realizan tareas dirigidas por el Estado, o la formación de una estructura híbrida que combine elementos criminales y vinculados al Estado.

En consecuencia, GREYVIBE se sitúa en un espacio complejo entre el cibercrimen tradicional y las operaciones cibernéticas vinculadas al gobierno. Esta superposición dificulta los esfuerzos de atribución y pone de manifiesto la creciente difuminación de los límites entre la actividad ciberdelictiva con fines lucrativos y las operaciones de inteligencia patrocinadas por el Estado.

Tendencias

Estafa de correo electrónico de colaboración de...

Suplantación de identidad (phishing), Correo basura
Los ciberdelincuentes responsables de la estafa de colaboración en LinkedIn intentan engañar a los destinatarios con lo que parece ser una consulta comercial profesional. Los correos electrónicos afirman provenir de un comprador llamado "Jonathan Spriggs" de Storex Trading Ltd., quien supuestamente encontró al destinatario a través de LinkedIn y desea hablar sobre un pedido grande de 12.000...

Estafa por correo electrónico: Su cliente de correo...

Suplantación de identidad (phishing), Correo basura
Los correos electrónicos con el asunto "Su cliente de correo electrónico Microsoft Outlook está desactualizado" son mensajes de phishing diseñados para parecer notificaciones de seguridad oficiales de Microsoft Outlook. Estos correos advierten a los destinatarios que su cliente de correo electrónico está supuestamente desactualizado y afirman que, si no lo actualizan de inmediato, podrían...

Mas Visto

Cargando...