AI w rękach hakerów. Kolejny rosyjski trop

Wraz z rozwojem i gwałtownym wybuchem popularności sztucznej inteligencji, nowymi możliwościami zainteresowali się również aktorzy zagrożeń. Od kilku lat eksperci zwracają uwagę na zastosowanie AI w działaniach cyberprzestępców oraz autorów dezinformacji.

Jak informowaliśmy na naszych łamach, w sierpniu 2023 roku Mandiant uznawał wykorzystanie nowych możliwości za „relatywnie nieduże”, jednak już rok później mówiło się o automatyzacji phishingu, deepfake oraz tworzeniu złośliwego oprogramowania.

Ślad rosyjski bez dowodów na udział Kremla

W ciągu dwóch lat rola AI w działaniach cyberprzestępców znacznie wzrosła. Jak informuje BleepingComputer, grupa hakerska GreyVibe wykorzystuje sztuczną inteligencję do tworzenia materiałów-przynęt oraz malware w celu atakowania administracji rządowej, firm czy jednostek wojskowych.

Działania zidentyfikowała w styczniu WithSecure, firma z branży cyberbezpieczeństwa. Według jej ustaleń, kampania mająca charakter cyberszpiegowski rozpoczęła się co najmniej w sierpniu 2025 roku. Głównym celem sprawców są ukraińskie podmioty lub organizacje powiązane z Ukrainą.

Dowody wskazują, że atakujący działają z terenu Rosji. Na ślad rosyjski wskazują m.in. język wykorzystywany w panelu zarządzania malware, komentarze pozostawione w kodzie oraz czas serwera C2 (command-and-control) ustawiony na moskiewską strefę czasową (UTC+3). Nie wykazano jednak, że grupa otrzymuje wsparcie ze strony Kremla; ma jej też „brakować dyscypliny oraz zaawansowania” powiązanego z tego typu działaniami.

Od przynęt po obsfuskatory

GreyVibe jest w stanie przeprowadzić kilka różnych ataków na wybrane przez siebie cele. Sztuczna inteligencja jest w stanie przygotować e-maile do spear-phishingu z archiwami ZIP lub RAR oraz plikami PDF służącymi jako przynęty, fałszywe strony randkowe dystrybuujące malware na Windowsa oraz spyware na Androida czy fałszywe strony z weryfikacją CAPTCHA wykonujące złośliwe polecenia na komputerze ofiary.

Sprawcy nie ograniczają się przy tym tylko do jednego AI. W użyciu są ChatGPT, Gemini czy Ideogram AI. Oprócz wspomnianych narzędzi, tworzą również obfuskatory (zaciemniacze kodu) takie jak LOOKVALPS, DAYLIGHT czy TEASOUP, a także trojan o nazwie LegionRelay.

„Działalność grupy jest zgodna z interesami Rosji, jednak (…) pewne oznaki również na powiązania z szerszym ekosystemem cyberprzestępczości. Grupa ta funkcjonuje w szarej strefie pomiędzy cyberprzestępczością a działalnością powiązaną z państwem, co utrudnia ustalenie jej przynależności i zaciera tradycyjne granice między tymi kategoriami” – podsumowują eksperci z WithSecure w swoim komunikacie.