✨︎ Resumen (TL;DR):
- El grupo cibercriminal GreyVibe integró IA para crear campañas de phishing y malware personalizado.
- La firma WithSecure detectó 5 operaciones dirigidas a militares y civiles desde agosto de 2025.
- Los atacantes vulneran redes con troyanos para robar datos de WhatsApp, Telegram y smartphones Android.
La firma de ciberseguridad WithSecure reveló que un grupo de hackers con vínculos rusos está utilizando herramientas de inteligencia artificial como ChatGPT, Google Gemini e Ideogram AI para atacar infraestructuras en Ucrania. Las operaciones vulneran al sector militar, gubernamental y civil mediante la generación automatizada de sitios web falsos y la programación rápida de códigos maliciosos.
GreyVibe es un grupo de ciberdelincuentes que utiliza modelos generativos para acelerar cada fase de sus operaciones tácticas. Los investigadores detectaron esta actividad en enero de 2026, aunque los registros muestran que la estructura opera al menos desde agosto de 2025, según un reporte publicado el 27 de mayo.
El rastro de la operación hacia Rusia se confirma mediante paneles de control en ruso, comentarios nativos en el código de programación y servidores configurados con la hora de Moscú (UTC+3).
Campañas de engaño y troyanos impulsados por IA
Los analistas documentaron cinco campañas operativas de este grupo. La más elaborada, PrincessClub, utiliza sitios de citas para adultos y perfiles falsos en Telegram para engañar a militares de Ucrania e instalar spyware en sus celulares, llegando a organizar videollamadas con personas reales para construir confianza antes del ataque.
Las otras amenazas activas en la red incluyen:
- PhantomMail: Correos dirigidos con archivos maliciosos disfrazados de documentos energéticos gubernamentales.
- PhantomClick: Páginas falsas de CAPTCHA que fuerzan la autoinfección de la computadora antes de redirigir a la víctima a reuniones reales de Zoom.
- DroneLink y Nebo: Plataformas que suplantan organizaciones de caridad militar y portales falsificados del ejército ruso.
Para ejecutar la extracción masiva de datos, los atacantes despliegan LegionRelay y PhantomRelay, dos troyanos de acceso remoto basados en PowerShell y desarrollados con asistencia directa de inteligencia artificial. Estas herramientas roban contraseñas del navegador, capturan la pantalla y extraen bases de datos de WhatsApp.
En el entorno móvil, el grupo inyecta el spyware FallSpy en el sistema operativo Android para recolectar los contactos, el historial de llamadas y la ubicación GPS.
Un nivel técnico bajo potenciado por el software
A pesar de operar bajo los intereses del estado, el reporte de WithSecure señaló que GreyVibe “carecía del nivel de sofisticación y disciplina operativa típicamente asociado con actores de estados-nación maduros”. El grupo llegó al punto de instalar mineros de criptomonedas en las máquinas de sus víctimas, un comportamiento atípico para el espionaje militar.
Christine Beherasko, especialista de la firma, indicó que el grupo probablemente fue “contratado por” el gobierno ruso, en lugar de ser una rama militar interna. La evidencia técnica vincula a sus miembros con exintegrantes de TrickBot, un cártel cibernético que atacó la región al inicio de la invasión.
Con campañas activas detectadas hasta abril de 2026, los investigadores advierten que la inteligencia artificial está permitiendo a estos programadores con habilidades limitadas “competir por encima de su peso”, complicando la ciberdefensa global en cada etapa de la infección.
