与俄罗斯有关联的黑客利用ChatGPT和Gemini攻击乌克兰目标

据网络安全公司 WithSecure 本周发布的最新研究报告，一个此前从未曝光、与俄罗斯存在关联的威胁组织，正在针对乌克兰目标的网络攻击行动中，将生成式AI工具贯穿于攻击的每一个阶段。

AI赋能的网络间谍活动

据WithSecure于5月27日发布的报告，该组织被追踪标记为GreyVibe，至少自2025年8月起便已活跃，主要针对乌克兰军事、政府、平民及商业机构。研究人员于2026年1月发现了相关活动，并查明该组织利用OpenAI的ChatGPT、谷歌 Gemini以及Ideogram AI生成网络钓鱼诱饵、搭建虚假网站、开发定制恶意软件，并创建入侵后的攻击工具。

该组织与俄罗斯的关联有多方面证据支撑：恶意软件面板使用俄语编写、代码注释以俄文书写，以及命令与控制服务器被配置为莫斯科时间（UTC+3）。不过，WithSecure目前尚未将其正式定性为国家级黑客行动。

五条攻击链

WithSecure记录了五个不同的攻击活动。"PhantomMail"利用鱼叉式钓鱼邮件，将恶意压缩包伪装成乌克兰政府和能源部门的文件进行投递。"PhantomClick"则部署伪造的CAPTCHA验证页面，诱骗受害者执行自我感染命令，随后将其重定向至合法的Zoom会议，使受害者对入侵毫无察觉。而"PrincessClub"堪称其中最为精密复杂的一环——攻击者搭建虚假的成人交友网站，并创建Telegram虚假身份，诱骗乌克兰军事人员安装间谍软件；为增强可信度，攻击者甚至与受害者进行真人视频通话以建立信任。

另有两个攻击活动："DroneLink"通过伪造的乌克兰军事慈善网站实施攻击，"Nebo"则利用仿冒的俄罗斯军事登录门户进行渗透。

该组织部署了多款自研恶意软件，包括"LegionRelay"和"PhantomRelay"——均为基于PowerShell的远程访问木马，疑似借助AI辅助开发。LegionRelay具备多种攻击能力，可窃取文件、截取屏幕、窃取浏览器凭据，以及从Telegram和WhatsApp中提取消息数据，并可建立远程桌面访问通道。在Android设备上，该组织则使用"FallSpy"间谍软件，收集联系人、通话记录、位置信息及媒体文件等数据。

网络犯罪根源，与国家利益一致的任务

尽管 GreyVibe 的行动与俄罗斯国家利益保持一致，但 WithSecure 指出，该组织"缺乏成熟国家级行为者通常具备的高度复杂性和操作纪律性"。有证据将该组织与曾在俄罗斯入侵乌克兰初期针对乌克兰发动攻击的前 TrickBot 网络犯罪分子联系起来，且其操作者在部分受害者机器上部署了加密货币挖矿程序——这在国家支持的组织中实属罕见。

WithSecure 的 Christine Beherasko 表示，该公司认为 GreyVibe 是被俄罗斯政府"雇用"的，而非直接隶属于政府。该组织目前仍处于活跃状态，最近一次有记录的活动出现在2026年4月，其成员身份至今仍未查明。研究人员表示，GreyVibe 是一个典型案例，清晰地展示了生成式人工智能如何使技能水平较低的攻击者"以弱胜强"——加速行动部署，并在攻击生命周期的多个阶段增加溯源归因的难度。