Devis de remise multi-licences
Données concernant les menaces Menace persistante avancée (APT) Acteur de menace GREYVIBE

Acteur de menace GREYVIBE

Par Mezo en Menace persistante avancée (APT), Logiciels malveillants
Se traduisent par :

Un acteur malveillant jusqu'alors non identifié, connu sous le nom de GREYVIBE, a été lié à une campagne de cyberespionnage soutenue ciblant l'Ukraine et des organisations qui lui sont liées depuis au moins août 2025. L'analyse suggère que le groupe opère principalement dans le fuseau horaire russe et communique en russe. Ses activités correspondent étroitement aux intérêts de l'État russe, notamment en matière de collecte de renseignements dans le cadre du conflit russo-ukrainien en cours.

GREYVIBE a ciblé un large éventail de secteurs, notamment des institutions militaires, des agences gouvernementales, des organisations civiles et des entreprises privées. Bien que les opérations du groupe présentent des caractéristiques associées à l'activité d'un État, des éléments indiquent également des liens avec le vaste milieu cybercriminel russe, via des individus soupçonnés d'être ou d'avoir été des cybercriminels.

Diverses méthodes d’infection et arsenal de logiciels malveillants personnalisés

L'acteur malveillant utilise divers mécanismes de diffusion pour compromettre ses victimes. Parmi ceux-ci figurent des campagnes de spear-phishing très ciblées, des pages de vérification CAPTCHA trompeuses et des sites web frauduleux de divertissement pour adultes se faisant passer pour des sites ukrainiens. Dans le cadre de ses opérations, GREYVIBE s'appuie systématiquement sur des logiciels malveillants, des chargeurs et des outils d'obfuscation développés en interne pour échapper à la détection et maintenir son accès aux systèmes compromis.

Plusieurs schémas d'attaque distincts ont été observés :

  • PhantomMail distribue des archives ZIP et RAR malveillantes via des courriels d'hameçonnage ciblés contenant des liens hébergés sur Google Drive et 4sync. Ces archives incluent des chargeurs JavaScript qui exécutent des documents leurres tout en déployant PhantomRelay, un cheval de Troie d'accès à distance (RAT) basé sur PowerShell, capable de reconnaissance système et d'exécution de commandes à distance.
  • PhantomClick exploite de fausses pages CAPTCHA de type ClickFix hébergées sur des domaines imitant des services tels que Zoom et LAPAS. Les victimes sont manipulées pour exécuter des commandes qui déclenchent la chaîne d'infection PhantomRelay.
  • PrincessClub utilise de faux sites web ukrainiens de clubs pour adultes pour diffuser le logiciel espion FallSpy sur les appareils Android et PhantomRelayV1 ou LegionRelay sur les systèmes Windows. Les versions ultérieures de ces sites intègrent une fonctionnalité d'appel en direct via WebRTC pour capturer l'audio et la vidéo des victimes. FallSpy est capable de collecter des informations sensibles sur les appareils Android infectés, tandis que LegionRelay permet la recherche de fichiers, le vol de données, la capture d'écran, l'extraction d'identifiants de navigateur, la collecte de données Telegram et WhatsApp, ainsi que la configuration du protocole RDP (Remote Desktop Protocol). PhantomRelayV1 est une version améliorée de PhantomRelay, intégrant un mécanisme de surveillance persistant personnalisé.
  • DroneLink se fait passer pour une organisation caritative soutenant les forces armées ukrainiennes et fournit WireGuard en collaboration avec LegionRelay.
  • Nebo déploie une variante de FallSpy déguisée en portail de connexion en langue russe, probablement destinée à tromper le personnel militaire ukrainien en lui faisant croire qu'il accède à un système militaire russe légitime.

L’intelligence artificielle comme multiplicateur de force

L'un des aspects les plus marquants des opérations de GREYVIBE est son recours manifeste à l'intelligence artificielle générative et aux grands modèles de langage pour renforcer ses capacités offensives. Des éléments indiquent que le groupe a utilisé des plateformes telles qu'Ideogram AI, OpenAI ChatGPT et Google Gemini pour la génération d'images, le développement de logiciels malveillants, l'obfuscation de scripts, la création d'infrastructures backend et les opérations post-compromission.

Cette approche assistée par l'IA offre plusieurs avantages opérationnels. Elle contribue à pallier les lacunes en compétences techniques, accélère les cycles de développement et réduit la dépendance vis-à-vis des familles de logiciels malveillants et des outils précédemment identifiés qui pourraient faciliter l'attribution.

L'utilisation croissante de l'IA dans les cyberopérations représente un défi majeur pour les défenseurs. Les acteurs malveillants peuvent rapidement générer, modifier ou remplacer des éléments de leurs outils, réduisant ainsi l'efficacité des méthodes d'attribution traditionnelles qui reposent sur des indicateurs techniques stables et des artefacts de logiciels malveillants récurrents.

Les faiblesses opérationnelles révèlent des lacunes en matière de développement

Malgré son développement assisté par l'IA, GREYVIBE a révélé de multiples failles de sécurité opérationnelle. Des chercheurs ont identifié des défauts de conception au sein de LegionRelay qui ont exposé par inadvertance des fonctionnalités internes, permettant ainsi de mieux comprendre le fonctionnement interne du logiciel malveillant.

De telles erreurs sont généralement rares chez les acteurs étatiques très sophistiqués, ce qui laisse penser que GREYVIBE ne relève pas d'une opération de renseignement traditionnelle. Le groupe semble plutôt posséder un niveau de sophistication technique faible à modéré, tout en tirant parti de l'intelligence artificielle pour accroître ses capacités au-delà de ses compétences intrinsèques.

Indicateurs de liens avec la cybercriminalité

Plusieurs éléments indiquent que GREYVIBE entretient des liens avec le vaste écosystème de la cybercriminalité russe :

  • Accès ou utilisation d'un utilitaire de bâtiment ISO associé à des liens présumés avec le gang TrickBot et UAC-0098.
  • Détection de variantes de PhantomRelay dans des campagnes cybercriminelles apparemment sans lien entre elles, notamment des opérations d'hameçonnage vocal Microsoft Teams menées entre juillet 2025 et février 2026 et des campagnes de distribution KongTuke observées entre février et mars 2026 qui utilisaient des techniques ClickFix.
  • Téléchargements d'échantillons de développement et de test en phase préliminaire.
  • Utilisation d'un argot internet informel tel que « letsrollboyos », « totallyunsus » et « cuteuwu » dans les conventions de nommage des artefacts de développement.
  • Déploiement du mineur de cryptomonnaie XMRig sur un nombre limité de systèmes infectés par LegionRelay.

Ces indicateurs permettent d'établir avec un niveau de confiance modéré que GREYVIBE entretient des liens significatifs avec des réseaux cybercriminels, et avec un niveau de confiance faible à modéré que certains de ses membres peuvent être, ou avoir été, impliqués dans des activités de cybercriminalité.

Estomper la frontière entre les opérations étatiques et criminelles

La nature exacte des liens entre GREYVIBE et l'État russe demeure incertaine. Plusieurs hypothèses sont envisagées : l'intégration de cybercriminels au sein d'une organisation étatique, des opérateurs indépendants exécutant des missions pour le compte de l'État, ou encore la formation d'une structure hybride mêlant éléments criminels et forces étatiques.

De ce fait, GREYVIBE occupe une position complexe à la croisée de la cybercriminalité traditionnelle et des cyberopérations gouvernementales. Ce chevauchement complique les efforts d'attribution et met en lumière la frontière de plus en plus floue entre les activités cybercriminelles à motivation financière et les opérations de renseignement commanditées par l'État.

Tendance

Arnaque par e-mail de collaboration LinkedIn

Hameçonnage, Courrier indésirable
Les cybercriminels à l'origine de l'escroquerie LinkedIn Collaboration tentent d'appâter leurs victimes avec ce qui semble être une demande commerciale professionnelle. Les courriels prétendent provenir d'un acheteur nommé « Jonathan Spriggs » de la société Storex Trading Ltd., qui aurait soi-disant trouvé le destinataire via LinkedIn et souhaiterait discuter d'une importante commande de 12 000...

Votre client de messagerie Microsoft Outlook est...

Hameçonnage, Courrier indésirable
Les courriels « Votre client de messagerie Microsoft Outlook est obsolète » sont des messages d'hameçonnage conçus pour ressembler à des notifications de sécurité officielles de Microsoft Outlook. Ces courriels avertissent les destinataires que leur client de messagerie est prétendument obsolète et affirment que le défaut de mise à jour immédiate pourrait entraîner la perte de courriels, de...

Le plus regardé

Chargement...