Dal mese di agosto del 2025 il collettivo GreyVibe sta usando le AI generative come ChatGPT, Ideogram AI e Google Gemini per rendere più rapide, credibili e difficili da individuare le proprie operazioni cyber contro l’Ucraina.
L’AI viene usata per generare email di phishing più convincenti, creare o modificare codice malevolo, automatizzare la raccolta di informazioni sulle vittime e produrre contenuti di ingegneria sociale molto più realistici rispetto ai metodi tradizionali.
Le AI entrano in guerra in diversi modi e non soltanto intervenendo direttamente negli scenari nei quali si consumano le offensive belliche.
In più, l’uso delle AI generative permette anche a criminali con competenze tecniche limitate di condurre attacchi complessi, trasformando i modelli generativi in un vero moltiplicatore di potenza per campagne malevole sempre più sofisticate.
Stiamo vivendo un cambiamento profondo del quale parliamo con Salvatore Lombardo, esperto ICT e socio Clusit.
Indice degli argomenti
Le offensive di GreyVibe
Iniziate nel cuore dell’estate del 2025, sono state scoperte e attribuite al gruppo GreyVibe a gennaio del 2026, quando i ricercatori di WhitSecure hanno collegato i diversi attacchi e definito il profilo del collettivo.
Il gruppo, smaccatamente filorusso, usa esche create con l’ausilio delle AI generative e un ampio arsenale di strumenti malware personalizzati per colpire organizzazioni militari e governative ma anche civili e commerciali.
L’operazione dimostra come le AI siano diventate una realtà operativa nel conflitto in corso, con implicazioni geopolitiche e tese alla supremazia digitale.
Gli obiettivi colpiti da GreyVibe
Le quattro macrocategorie di obiettivi sono legate in modo diretto o meno diretto a Kiev.
Per prendere di mira i militari, gli attaccanti hanno creato siti che emulano interfacce usate dai soldati russi per comunicazioni di servizio. In questo modo sono riusciti a ingannare i soldati ucraini che monitorano questi sistemi, distribuendo malware o fornendo informazioni false per manipolare le operazioni sul campo.
Inoltre, GreyVibe ha approfittato della solidarietà civile nei confronti dell’esercito ucraino, usando finti siti per la raccolta di fondi per diffondere spyware.
Il collettivo ha creato una campagna specifica chiamata DroneLink. Il sito web dell’iniziativa di beneficenza, con testi in perfetto ucraino e immagini realistiche di droni e velivoli militari, è stato allestite usando le AI generative.
Gli utenti interessati a supportare l’esercito, navigando sul sito o prelevando materiale informativo, attivavano inconsapevolmente il download di malware quali LegionRelay o Fallspy, progettati per lo spionaggio e capaci di intercettare messaggi WhatsApp e Telegram, di scattare screenshot e di tracciare la posizione geografica dei dispositivi.
Una tattica di ingegneria sociale che sfrutta la coesione nazionale in un contesto esasperato come quello bellico e che abbassa le difese psicologiche delle vittime, convinte di contribuire alla salvezza del proprio Paese.
Ministeri e agenzie governative ucraine, enti di emergenza, Telco e utility, organizzazioni civili e aziende legate al governo ucraino da contratti di fornitura sono state vittime di diverse tattiche di attacco.
Da PhantoMail a PrincessClub
PhantomMail è il nome di un’operazione di attacco basata su email ingannevoli che contengono link per il prelievo di file infetti.
Non si tratta di un malware singolo, ma di una campagna di spear phishing finalizzata a fungere da punto di ingresso per infettare i sistemi con virus più complessi.
L’obiettivo finale di PhantomMail è la distribuzione di un virus chiamato PhantomRelay, un trojan di accesso remoto (RAT) che consente ai criminal hacker di ottenere il controllo del dispositivo della vittima.
Il collettivo usa anche la tecnica di attacco PanthomClick basata su pagine CAPTCHA contraffatte. I cyber criminali inducono le vittime a eseguire comandi dannosi sui rispettivi computer.
Una tecnica denominata ClickFix associata a false pagine di verifica CAPTCHA che simulano l’interfaccia di servizi noti come Cloudflare e imitano siti web di piattaforme quali Zoom per ingannare l’utente. Per superare il finto test di sicurezza e dimostrare di non essere un bot, alla vittima viene chiesto di eseguire manualmente una serie di comandi malevoli attraverso la finestra Esegui di Windows.
Una procedura di auto-infezione che consente agli aggressori di aggirare le difese automatiche e installare il trojan di accesso remoto PhantomRelay, garantendo così al gruppo l’accesso al dispositivo per finalità di spionaggio.
Infine, PrincessClub è un’operazione di cyberspionaggio del gruppo GreyVibe che utilizza falsi siti ucraini di incontri e club per adulti come esca per infettare i dispositivi delle vittime.
Attraverso l’uso di finti profili femminili su Telegram e l’implementazione di videochiamate basate su tecnologia WebRTC per catturare l’audio e il video dei bersagli, gli hacker inducono gli utenti a installare applicazioni malevole sia su sistemi Windows sia su dispositivi Android.
Nello specifico, la campagna distribuisce i trojan PhantomRelay e LegionRelay per il controllo remoto dei computer e lo spyware FallSpy per i telefoni, consentendo al collettivo di raccogliere informazioni di intelligence come elenchi di contatti, registri delle chiamate, file multimediali e la posizione geografica dei soggetti colpiti.
Sviluppo di malware assistito dall’IA
GreyVibe utilizza i modelli LLM anche per la scrittura di codice e lo sviluppo di software malevolo come LegionRelay e PhantomRelay. Questi trojan di accesso remoto (RAT) sono in grado di rubare file, catturare screenshot ed esfiltrare dati da applicazioni come Telegram e WhatsApp. Anche gli strumenti di offuscamento del codice, necessari per evitare i software di sicurezza, mostrano segni di generazione tramite intelligenza artificiale.
Implicazioni per la sicurezza globale
L’ascesa di GreyVibe segnala che l’IA ha abbassato le barriere d’ingresso per le campagne di cyberspionaggio di alto livello. Per i difensori, ciò significa che i tradizionali segnali di allarme stanno scomparendo, rendendo necessaria una protezione focalizzata sui comportamenti anomali del sistema.
Infatti, come spiega Salvatore Lombardo: “L’avvento di collettivi cybercriminali come GreyVibe ha definitivamente scardinato i pilastri su cui si è basata per anni la formazione aziendale contro il phishing.
In passato, per istruire un dipendente a riconoscere un’esca, bastava invitarlo a fare attenzione agli errori grammaticali, alle traduzioni approssimative, alla grafica amatoriale o a formule di saluto informali.
Oggi, l’integrazione sistematica dell’intelligenza artificiale generativa nella catena di attacco ha azzerato queste imperfezioni. Gli strumenti di scrittura automatica producono testi in un linguaggio formale e talvolta impeccabile, mentre i generatori di immagini creano layout grafici e finti portali di supporto del tutto identici a quelli istituzionali o aziendali.
Inoltre, l’IA consente di personalizzare le esche su vastissima scala, imitando alla perfezione contesti reali, comunicazioni governative o dinamiche di collaborazione interna.
A questo si aggiunge l’evoluzione delle tecniche di inganno di tipo ClickFix, come i finti CAPTCHA o i messaggi di errore di sistema, che non spingono più l’utente a cliccare su un link ambiguo, ma lo convincono a copiare e incollare stringhe di codice direttamente nel proprio terminale”.
Ha quindi senso vedere questo collettivo al pari di un’anteprima di come opereranno in futuro i gruppi legati agli Stati, rendendo la distinzione tra cybercrime e spionaggio sempre più sottile.
I rimedi
“Davanti a minacce così sofisticate, la nuova frontiera della difesa comportamentale si basa sul concetto di tolleranza zero verso le anomalie procedurali”, continua Salvatore Lombardo.
“Il personale deve imparare a insospettirsi non per come è scritta una comunicazione, ma per l’azione insolita che viene richiesta, soprattutto se esce dai canali operativi standard o se richiede di eseguire comandi sul proprio computer.
Diventa quindi fondamentale rendere sistematica la verifica tramite canali alternativi, spingendo i dipendenti a validare ogni richiesta critica o urgente attraverso una via di comunicazione separata e sicura, come una telefonata diretta o un sistema di messaggistica interna certificato, ignorando i contatti forniti nell’esca stessa.
Parallelamente, le aziende devono abbandonare i vecchi test di phishing statici in favore di simulazioni dinamiche che replichino i moderni attacchi multicanale e, soprattutto, devono promoverne una cultura della segnalazione immediata basata sul supporto e non punitiva, assicurando che chiunque si accorga di aver commesso un errore possa allertare il prima possibile il team di sicurezza per bloccare la minaccia prima che sia troppo tardi”, conclude l’esperto.
Partecipa alla community