GreyVibe: lebukott az orosz kiberkémcsoport, ami tömegesen fegyverezte fel a ChatGPT-t és a Geminit

2026 januárijában a WithSecure finn kiberbiztonsági cég elemzői valami szokatlanra lettek figyelmesek: egy újonnan azonosított PowerShell-alapú kártevő, a LegionRelay olyan tervezési hibát tartalmazott, amelyet szinte kizárólag mesterséges intelligencia (AI) által generált kódok szoktak produkálni.

A hiba nem összeomlást okozott – éppen ellenkezőleg: hónapokon át nyitva hagyott egy megfigyelési ablakot, amelyen keresztül a kutatók szinte valós időben követhették az ismeretlen csoport tevékenységét. Amit láttak, az alapjaiban változtatja meg azt, amit az orosz kiberkémkedésről tudtunk és amit az AI-eszközök ártalmatlan terjedéséről hinni szeretnénk.

A WithSecure 2026. május 27-én tette közzé GREYVIBE-elemzését, amely az egyik legátfogóbb, nyilvánosságra hozott jelentés az orosz AI-vezérelt kiberkémkedésről.

Ki a GreyVibe? az AI-t Ukrajna ellen bevető orosz csoport

A WithSecure jelentése szerint a GreyVibe legalább 2025 augusztusa óta aktív, és ukrán katonai, kormányzati, civil és üzleti szervezeteket vesz célba. A csoport neve addig ismeretlen volt a nyilvánosságra hozott fenyegetők listáján.

Az orosz kötődésre három egymástól független technikai bizonyíték mutat:

• Az összes kártevő-vezérlőpanel orosz nyelven üzemel.
• A kódban szereplő fejlesztői megjegyzések orosz nyelvűek.
• A parancs-és-vezérlő (C2) szerverek moszkvai időzónára (UTC+3) vannak beállítva.

Az „outsourcing” modell

A csoport felépítése sajátos, vegyes képet mutat: jól látható a Kreml-érdekeket szolgáló célpontválasztás, ám ezt kiberbűnözői eszközökkel és fegyelmezetlen operatív eljárásrenddel ötvözik. A kutatók mérsékelt bizonyossággal állítják, hogy a GreyVibe az orosz kiberbűnözői ökoszisztémához kötődik; egyes tagjairól feltételezhető, hogy a hírhedt TrickBot-banda jelenlegi vagy volt tagjai. Egy ISO-készítő eszköz nyomvonala a TrickBot-ganghez és a UAC-0098 csoporthoz vezet – utóbbiakat az ukrán CERT már az orosz invázió első napjaitól nyomon követi.

A legfontosabb következtetés oknyomozói szemszögből, hogy a WithSecure nem merte formálisan állami műveletnek minősíteni a csoportot. Modelljük szerint a GreyVibet az orosz kormány megbízásból alkalmazza: ez a Kremlt jól kiszolgáló outsourcing-modell, amelyben a bűnözők állami megbízásokért cserébe dolgoznak.

AI kémfegyver az eszköztárban: ChatGPT, Gemini, Ideogram

A GreyVibe-ot minden korábbi orosz csoporttól az különbözteti meg, hogy a generatív mesterséges intelligenciát a teljes támadási életcikluson keresztül, szisztematikusan alkalmazza. Nem kísérletezésről van szó, hanem ipari szintű integrációról.

Csalianyag-gyártás (Ideogram AI): A csoport az Ideogram képgeneráló mesterséges intelligenciát arra használja, hogy meggyőző vizuális tartalmakat – például hamis ukrán kormányzati fejléceket, energiavállalati logókat, katonai jótékonysági szervezetek arculatát – állítson elő. Ezek az anyagok olyan minőségűek, hogy az ukrán állampolgárok nagy része nem tudja megkülönböztetni őket a valódiaktól.

Kártevőfejlesztés (LegionRelay): A LegionRelay nevű Windows-alapú hátsóajtó (backdoor) nagyrészt ChatGPT és Google Gemini segítségével készült. Képes fájlokat lopni és képernyőképeket készíteni, böngészőben tárolt belépési adatokat kiszűrni, Telegram- és WhatsApp-üzeneteket elolvasni és továbbítani, valamint távoli asztali hozzáférést (RDP) kiépíteni az áldozat gépére.

Obfuszkáció (AI-generált leplezőeszközök): Négy egyedi kódfedő eszközt azonosítottak a kutatók (LOOKVALPS, LOOKVALJS, DAYLIGHT, TEASOUP), amelyek mind valószínűleg LLM-asszisztált (nagy nyelvi modell által támogatott) fejlesztés eredményei. Feladatuk, hogy a kártevő kódját felismerhetetlenné tegyék a vírusirtók számára.

A mobil kémeszköz (FallSpy): Okostelefonokon a csoport a FallSpy spyware-t telepíti. A program csendben gyűjti a teljes névjegyzéket és hívásnaplót, a valós idejű GPS-helyadatokat, a médiafájlokat (fotók, videók, hangfelvételek) és a SIM-kártya-információkat.

Az öt arc: a GreyVibe kampányai

PhantomMail – Az irodai csapda

Lándzsás adathalász e-mailek, amelyek ukrán kormányzati, energetikai és telekommunikációs szerveket személyesítenek meg. A mellékletek Google Drive-on vagy 4sync-en érkeznek, ZIP/RAR archívumban, amelyek kinyitáskor látszólag PDF-dokumentumot mutatnak, miközben a háttérben a kártevő települ.

PhantomClick – A CAPTCHA-csapda

Egyre elterjedtebb módszer Ukrajna ellen: hamis CAPTCHA-oldalak, amelyek Zoom-megbeszélések vagy az ukrán LAPAS rendszer bejelentkezési felületének tűnnek. Az oldal arra utasítja az áldozatot, hogy futtasson le egy PowerShell-parancsot – valójában ezzel maga fertőzi meg saját gépét. Ezt követően az oldal átirányít egy valódi Zoom-megbeszélésre, hogy az áldozat ne gyanakodjon.

PrincessClub – A mézes csapda katonák ellen

A legkidolgozottabb és legzavaróbb kampány. A GreyVibe hamis felnőtt társkereső weboldalakat üzemeltet, amelyek kifejezetten ukrán katonai személyzetnek szólnak. Hamis „ukrán nő” profilok jönnek létre Telegramon, a bizalomépítés pedig valódi WebRTC alapú videóhívásokkal zajlik – vagyis élő emberi operátorok is bevonhatók. A kapcsolat mélyülésével az áldozatot rábeszélik egy alkalmazás letöltésére, ami valójában a FallSpy kémprogramja.

Ez a módszer klasszikus titkosszolgálati honeytrap-technika digitális köntösben: a hagyományos emberi hírszerzés (HUMINT) és a technikai hírszerzés (TECHINT) kombinációja.

DroneLink – A katonai jótékonyság álarca

Hamis ukrán katonai jótékonysági weboldalak, amelyek drón- és felszerelési adományokat gyűjtenek. Az oldalak a frontszolgálatot teljesítő katonák érzelmeire apellálnak.

Nebo – Orosz katonai bejelentkezési portálok hamisítása

A legkülönösebb kampány: hamisított orosz katonai bejelentkezési oldalak, amelyek valószínűleg orosz katonai személyzet vagy dezertőrök adatainak megszerzésére irányulnak – esetleg kettős ügynöki műveletek részeként.

A paradoxon: az AI egyszerre fegyver és Achilles-sark

A GreyVibe esete iróniában gazdag tanulsággal szolgál: ugyanaz az AI, amely lehetővé tette a csoport felemelkedését, egyben le is leplezte őket.

Az LLM-asszisztált fejlesztés jellegzetes kódbeli nyomokat hagy – olyan szerkezeti mintákat és tervezési döntéseket, amelyek egy tapasztalt emberi fejlesztőtől nem születnének meg. A LegionRelay-ben talált hibák pontosan ilyenek voltak: nem véletlenszerű bugok, hanem az AI-generált kód szisztematikus gyengeségei, amelyek stabil, követhető ujjlenyomatot alkottak. Hónapokon át ez volt a kutatók legértékesebb nyomkövetési eszköze.

A nagy kép: egy új hibrid hadviselési modell

A GreyVibe nem különálló jelenség, hanem egy kibontakozó trend előhírnöke. Az orosz állam régóta alkalmaz bűnözői csoportokat állami célokra, de itt valami új is megjelenik: a kereskedelmi AI-eszközök katonai célú fegyverizálása.

Az OpenAI és a Google természetesen tiltja platformjai ilyen célú használatát, de ezek a tilalmak nehezen érvényesíthetők. A GreyVibe egyszerűen szabályos felhasználói fiókokat használt, VPN-en keresztül. A WithSecure figyelmeztetése szerint ez az eset nem a csúcsot, hanem a kezdetet jelzi: ahogy az AI-eszközök egyre erősebbek és elérhetőbbek lesznek, egyre több közepes képességű csoport lesz képes arra, amire korábban csak az állami hírszerző szervek elit egységei tudtak vállalkozni. Az Ukrajna elleni háború ebben az értelemben a jövő összes kiberkonfliktusának próbaterepévé vált.