GREYVIBEの脅威アクター

これまで正体不明だったGREYVIBEという脅威アクターが、少なくとも2025年8月以降、ウクライナおよび同国と関係のある組織を標的とした継続的なサイバー諜報活動に関与していることが明らかになった。分析によると、このグループは主にロシア時間帯で活動し、ロシア語で通信を行っている。その活動は、特に現在進行中のロシア・ウクライナ紛争に関連する情報収集活動など、ロシアの国家利益と密接に一致している。

GREYVIBEは、軍事機関、政府機関、民間団体、民間企業など、幅広い分野を標的にしている。同グループの活動は国家主導の活動の特徴を示しているが、現在または過去にサイバー犯罪に関与していたと思われる人物を通じて、ロシアの広範なサイバー犯罪ネットワークとのつながりも示唆されている。

多様な感染方法と独自のマルウェア兵器群

攻撃者は、被害者を侵害するために様々な配信メカニズムを利用しています。これには、高度に標的を絞ったスピアフィッシング攻撃、偽装されたCAPTCHA認証ページ、ウクライナをテーマにした偽の成人向けエンターテイメントウェブサイトなどが含まれます。GREYVIBEは、その活動全体を通して、検出を回避し、侵害したシステムへのアクセスを維持するために、自社開発のマルウェア、ローダー、難読化ツールを一貫して使用しています。

いくつかの異なる攻撃手法が確認されている。

• PhantomMailは、Google Driveや4syncにホストされているリンクを含むスピアフィッシングメールを通じて、悪意のあるZIPおよびRARアーカイブを配布します。これらのアーカイブには、偽のドキュメントを起動するJavaScriptローダーが含まれており、同時にシステム偵察やリモートコマンド実行が可能なPowerShellベースのリモートアクセス型トロイの木馬（RAT）であるPhantomRelayが展開されます。
• PhantomClickは、ZoomやLAPASなどのサービスを装ったドメイン上でホストされているClickFixスタイルの偽CAPTCHAページを利用します。被害者は操作されて、PhantomRelay感染チェーンをトリガーするコマンドを実行させられます。
• PrincessClubは、偽のウクライナの成人向けクラブのウェブサイトを利用して、AndroidデバイスにFallSpyスパイウェアを、WindowsシステムにPhantomRelayV1またはLegionRelayを配布しています。これらのウェブサイトの後のバージョンでは、WebRTCベースのライブ通話機能が組み込まれ、被害者の音声とビデオをキャプチャします。FallSpyは感染したAndroidデバイスから機密情報を収集できますが、LegionRelayはファイル検出、データ窃盗、スクリーンショットキャプチャ、ブラウザ認証情報の抽出、TelegramとWhatsAppのデータ収集、リモートデスクトッププロトコル（RDP）構成をサポートしています。PhantomRelayV1は、カスタムのウォッチドッグ永続化メカニズムを追加することで、元のPhantomRelayを拡張しています。
• DroneLinkは、ウクライナ軍を支援する慈善団体を装い、LegionRelayと連携してWireGuardを提供している。
• Neboは、ロシア語のログインポータルを装ったFallSpyの亜種を展開しており、これはおそらくウクライナ軍関係者を欺き、正規のロシア軍システムにアクセスしていると信じ込ませることを目的としている。

人工知能を戦力増強手段として活用する

GREYVIBEの活動で最も注目すべき点の1つは、攻撃能力を強化するために生成型人工知能と大規模言語モデルに大きく依存している点である。証拠によると、同グループはIdeogram AI、OpenAI ChatGPT、Google Geminiなどのプラットフォームを利用して、画像生成、マルウェア開発、スクリプト難読化、バックエンドインフラストラクチャの構築、および侵害後の運用を支援してきた。

このAI支援型アプローチは、いくつかの運用上の利点をもたらします。技術的なスキル不足を補い、開発サイクルを加速させ、既知のマルウェアファミリーや、攻撃元特定に役立つツールへの依存度を低減します。

サイバー作戦におけるAIの利用拡大は、防御側にとって大きな課題となっている。攻撃者はツールセットの構成要素を迅速に生成、変更、または置き換えることができるため、安定した技術的指標や繰り返し出現するマルウェアの痕跡に依存する従来の攻撃者特定手法の有効性が低下する。

運用上の弱点が開発上のギャップを露呈する

AIを活用した開発の恩恵を受けているにもかかわらず、GREYVIBEは複数の運用上のセキュリティ上の欠陥を露呈した。研究者らは、LegionRelayの設計上の欠陥を特定し、それが意図せずバックエンド機能を露呈させ、マルウェアの内部動作に関する知見をもたらした。

このようなミスは、高度な技術力を持つ国家支援型組織では一般的に稀であり、GREYVIBEは従来の諜報機関の活動とは異なる可能性を示唆している。むしろ、このグループは技術的な洗練度は低～中程度であるものの、AI技術を活用して本来の能力レベルを超えた能力を発揮しているように見える。

サイバー犯罪との関連性を示す指標

複数の調査結果から、GREYVIBEはロシアの広範なサイバー犯罪エコシステムとのつながりを維持していることが示唆されている。

• TrickBotグループおよびUAC-0098との関連が疑われるISO構築ユーティリティへのアクセスまたは使用。
• 一見無関係に見えるサイバー犯罪キャンペーン内でPhantomRelayの亜種が検出されました。これには、2025年7月から2026年2月にかけて実施されたMicrosoft Teamsの音声フィッシング攻撃や、2026年2月から3月にかけて観測されたClickFixの手法を用いたKongTuke配信キャンペーンなどが含まれます。
• 初期段階の開発およびテスト用サンプルをアップロードします。
• 開発成果物の命名規則において、「letsrollboyos」、「totallyunsus」、「cuteuwu」などの非公式なインターネットスラングを使用すること。

これらの指標は、GREYVIBEがサイバー犯罪ネットワークと重要なつながりを持っているという中程度の確信度、および一部のメンバーが現在または過去にサイバー犯罪活動に関与していた可能性があるという低～中程度の確信度を裏付けている。

国家活動と犯罪活動の境界線が曖昧になる

GREYVIBEとロシア国家との関係の正確な性質は依然として不明である。サイバー犯罪者が国家支援組織に組み込まれている可能性、国家の指示に従って任務を遂行する独立した工作員がいる可能性、あるいは犯罪組織と国家関連組織が融合したハイブリッド構造が形成されている可能性など、いくつかの可能性が考えられる。

その結果、GREYVIBEは従来のサイバー犯罪と政府関連のサイバー作戦の中間に位置する複雑な領域を占めている。この重複は犯人特定を困難にし、金銭目的のサイバー犯罪活動と国家主導の情報活動との境界線がますます曖昧になっていることを浮き彫りにしている。