O grupo GreyVibe, associado a interesses russos, foi identificado em campanhas contra organizações da Ucrânia e entidades relacionadas ao país desde pelo menos agosto de 2025.
A atividade envolve setores militar, governamental, civil e empresarial, com uso frequente de ferramentas de inteligência artificial generativa.
A operação foi documentada pela WithSecure, que descreve o GreyVibe como um ator ainda não ligado de forma definitiva a grupos já conhecidos.
O grupo usa IA para acelerar diferentes fases dos ataques, incluindo criação de iscas de phishing, desenvolvimento de sites falsos, geração de código e apoio à produção de malware.
Entre as plataformas citadas na investigação estão ChatGPT, Google Gemini e Ideogram AI.
As campanhas combinam múltiplos vetores de entrega e famílias próprias de malware.
Entre os recursos observados estão ferramentas para Windows e Android, usadas para roubo de arquivos, coleta de credenciais, espionagem, rastreamento de localização e obtenção de dados de comunicação.
Em ataques a computadores, o grupo utilizou malwares como PhantomRelay, descrito como um RAT em PowerShell capaz de executar comandos, carregar scripts dinamicamente e coletar informações do sistema.
No ambiente móvel, pesquisadores relataram o uso do spyware Android FallSpy em campanhas como PrincessClub e Nebo.
