🔍 Contexte

WithSecure Labs publie le 28 mai 2026 une analyse approfondie d’un groupe de menace nouvellement tracké sous le nom GREYVIBE, actif depuis au moins août 2025 et ciblant principalement l’Ukraine et les entités liées à l’Ukraine dans le contexte du conflit russo-ukrainien.

🎯 Victimologie et ciblage

Le groupe cible une population diverse :

  • Entités militaires ukrainiennes (dont des combattants à Kharkiv)
  • Entités gouvernementales (Conseil municipal de Kyiv, Service d’État des communications spéciales)
  • Entités civiles et commerciales
  • Secteur énergie (entreprise énergétique ukrainienne)

📦 Vecteurs d’attaque et campagnes

PhantomMail : Spear-phishing par e-mail depuis août 2025, avec archives ZIP/RAR hébergées sur Google Drive et 4sync, contenant des loaders PyInstaller ou JavaScript lançant la chaîne d’infection PhantomRelay.

PhantomClick : Fausses pages CAPTCHA de style ClickFix (octobre 2025), usurpant Zoom et LAPAS, instruisant les victimes en ukrainien d’exécuter des commandes malveillantes.

PrincessClub : Faux sites de clubs adultes ukrainiens livrant FallSpy (Android) et PhantomRelayV1/LegionRelay (Windows). Utilisation de faux profils féminins sur Telegram. Fonctionnalité WebRTC post-infection pour capture audio/vidéo (HUMINT).

DroneLink : Campagne (mars-avril 2026) usurpant des fondations caritatives soutenant les Forces armées ukrainiennes (drones FPV, UAV), partageant l’infrastructure C2 et les outils post-compromission avec PrincessClub.

Nebo : Cluster d’artefacts imitant “СПО НЕБО” (système de communications militaires russes), ciblage probable de personnel militaire ukrainien.

🤖 Usage de l’IA générative

GREYVIBE utilise de manière systématique et intégrée plusieurs plateformes IA (Ideogram AI, ChatGPT, Google Gemini) pour :

  • Développement de leurres et génération d’images (PrincessClub)
  • Développement d’obfuscateurs et loaders (LOOKVALJS, DAYLIGHT, TEASOUP)
  • Développement full-stack de LegionRelay
  • Génération de commandes et scripts post-compromission

Des failles de conception dans LegionRelay, attribuées à une assistance LLM, ont exposé des fonctionnalités backend permettant à WithSecure une visibilité prolongée sur l’activité du groupe.

🛠️ Arsenal technique

  • PhantomRelay : RAT PowerShell modulaire, communication WebSocket, trois variants (Lite, V1, V2)
  • LegionRelay : RAT PowerShell léger via REST API, capacités d’exfiltration de fichiers, captures d’écran, vol de données navigateur, exfiltration Telegram/WhatsApp, accès RDP
  • FallSpy : Spyware Android (contacts, journaux d’appels, localisation, médias, SSID Wi-Fi)
  • Obfuscateurs : LOOKVALPS, LOOKVALJS, DAYLIGHT, TEASOUP
  • Outils post-compromission : WireGuard, ZAPiXDESK, XMRig (mineur)

🔗 Attribution

Opérateurs et développeurs russophones, fuseau horaire UTC+3 (Moscou), activité cohérente avec les heures de bureau moscovites. Liens possibles avec l’écosystème cybercriminel (proximité avec TrickBot/UAC-0098, PhantomRelay présent dans des clusters cybercriminels). Sophistication faible à modérée.

📄 Type d’article

Publication de recherche CTI par WithSecure Labs, visant à documenter un nouvel acteur de menace Russia-nexus, ses campagnes, son arsenal technique et son usage innovant de l’IA générative.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • GREYVIBE (state-sponsored) —
  • UAC-0098 (cybercriminal) —

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1204.001 — User Execution: Malicious Link (Execution)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1113 — Screen Capture (Collection)
  • T1005 — Data from Local System (Collection)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1102 — Web Service (Command and Control)
  • T1547 — Boot or Logon Autostart Execution (Persistence)
  • T1036 — Masquerading (Defense Evasion)
  • T1496 — Resource Hijacking (Impact)
  • T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)
  • T1560 — Archive Collected Data (Collection)

IOC

Malware / Outils

  • PhantomRelay (rat)
  • PhantomRelayLite (rat)
  • PhantomRelayV1 (rat)
  • PhantomRelayV2 (rat)
  • LegionRelay (rat)
  • FallSpy (other)
  • LOOKVALPS (loader)
  • LOOKVALJS (loader)
  • DAYLIGHT (other)
  • TEASOUP (other)
  • XMRig (other)
  • WireGuard (tool)
  • ZAPiXDESK (tool)

🟡 Indice de vérification factuelle : 59/100 (moyenne)

  • ⬜ labs.withsecure.com — source non référencée (0pts)
  • ✅ 18140 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ✅ 1/1 IOC(s) confirmé(s) (ThreatFox, URLhaus, VirusTotal) (8pts)
  • ✅ 18 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : GREYVIBE, UAC-0098 (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • frontforce.org (domain) → VT (17/91 détections)

🔗 Source originale : https://labs.withsecure.com/publications/greyvibe?utm_source=substack&utm_medium=email