Atacurile GreyVibe: Cum AI-ul devine arma principală a hackerilor

În peisajul actual al amenințărilor informatice, inovația nu aparține doar dezvoltatorilor de software, ci și atacatorilor. Recent, am analizat activitatea grupării GreyVibe, o grupare de cyber-spionaj activă din august 2025, care a ridicat nivelul de sofisticare prin integrarea inteligenței artificiale generativă. În activitatea noastră de la Activ.NET, unde monitorizăm constant vectorii de atac pentru a ne proteja partenerii, vedem cum astfel de grupări nu mai scriu cod manual pentru fiecare campanie, ci utilizează LLM-uri pentru a crea campanii de phishing și malware imposibil de detectat prin metodele clasice. Pentru o firmă din Arad sau oriunde în România, acest lucru înseamnă că vechile filtre de spam ar putea deveni insuficiente.

#Ce s-a intamplat

Cercetătorii de la WithSecure au descoperit că GreyVibe utilizează ChatGPT, Gemini și Ideogram AI pentru a genera conținut extrem de convingător. Aceștia au creat pagini web false, documente de phishing și chiar personalități virtuale pe Telegram pentru a extrage date de pe dispozitive Android și Windows. Mai mult, malware-ul folosit, cum ar fi LegionRelay sau PhantomRelay, a fost dezvoltat cu ajutorul asistenților AI. Aceste instrumente permit grupării să facă exfiltrări de date, să monitorizeze activitatea de la distanță și să captureze date de autentificare din browsere. Se pare că gruparea este un hibrid între cyber-criminali de rând și actori susținuți de interese statale, demonstrând o disciplină operațională variabilă, dar o capacitate tehnică ridicată prin automatizare.

#Impact pentru firme

Impactul asupra mediului de business, chiar și pentru firmele mici sau mijlocii, este direct. Atacurile nu mai par "spam-uri" evidente cu greșeli gramaticale. AI-ul generează mesaje impecabile în limba țintă, site-uri de phishing care copiază perfect interfața unor servicii legitime (precum Zoom sau portaluri guvernamentale) și CAPTCHA-uri false care păcălesc utilizatorii să execute comenzi malițioase. Dacă un angajat accesează un link malițios, riscați nu doar furtul datelor de acces, ci și compromiterea întregii rețele locale, exfiltrarea de date sensibile din WhatsApp/Telegram sau chiar instalarea de minere de criptomonede care vă consumă resursele serverelor.

#Recomandari concrete

La Activ.NET, recomandăm clienților noștri să treacă dincolo de firewall-ul de bază și să adopte o strategie de securitate proactivă:

1. Activati MFA (Multi-Factor Authentication) obligatoriu pe toate conturile (Office 365, conturi bancare, portaluri interne). Mergeți în Setări -> Securitate și asigurați-vă că este activat pentru toți utilizatorii. Nu utilizați SMS ca metodă, folosiți aplicații dedicate (Microsoft Authenticator).
2. Implementați o politică strictă de "Least Privilege" pentru stațiile de lucru. Utilizatorii nu trebuie să ruleze cu drepturi de administrator local; acest lucru previne auto-instalarea malware-ului de tip PowerShell RAT descoperit în campania GreyVibe.
3. Instruirea angajaților în identificarea CAPTCHA-urilor suspecte și a paginilor de login „pixel-perfect”. Dacă un link cere instalarea unui executabil pentru „verificare Cloudflare”, este aproape cert un atac.

Pentru o securitate completă, echipa noastră poate evalua infrastructura prin servicii de Administrare servere și consultanță în Cybersecurity, asigurându-ne că datele firmei dumneavoastră sunt protejate de noile valuri de atacuri AI.

#Concluziile noastre

Amenințarea GreyVibe ne arată că AI-ul nu este doar un instrument pentru productivitate, ci o sabie cu două tăișuri. Firmele care se bazează doar pe soluții de securitate perimate vor deveni victime ușoare. În proiectele noastre, vedem că succesul în apărare stă în straturi: securizarea endpoint-urilor, educarea continuă a echipei și o monitorizare activă a traficului de rețea. Securitatea IT nu este un proiect de bifat o dată pe an, ci un proces continuu pe care îl gestionăm alături de partenerii noștri.

Inspirat din: BleepingComputer