it

GreyVibe 해커, 사이버 공격에 ChatGPT·Gemini 활용

발행: (2026년 5월 29일 AM 07:24 GMT+9)
7 분 소요
원문: Bleeping Computer

출처: Bleeping Computer

GreyVibe라 추정되는 러시아 위협 그룹이 AI‑생성 미끼와 풍부한 맞춤형 악성코드 도구 세트를 사용해 군사, 정부, 민간 및 비즈니스 부문의 대상을 노리고 있습니다.
이 사이버 스파이 활동은 최소 2025년 8월부터 진행돼 왔으며 러시아 국가 이익과 일치하는 것으로 보이지만, 연구진은 이를 명확히 국가 차원의 작전이라고 분류하기는 어렵습니다.

WithSecure는 2025년 1월에 이 활동을 발견했으며, 주 타깃이 우크라이나 혹은 우크라이나와 연관된 조직임을 확인했습니다. 러시아어를 사용하는 위협 행위자와의 연관성은 악성코드 패널에 사용된 언어, 코드 주석, 그리고 UTC+3(모스크바 시간)으로 설정된 C2 서버 시간 등을 통해 뒷받침됩니다.

개요

GreyVibe는 ChatGPT, Ideogram AI, Google Gemini 등 여러 AI 도구를 활용해 정교하고 사실적인 미끼 콘텐츠를 생성합니다. 또한 맞춤형 난독화 도구와 PowerShell 기반 원격 접근 트로잔(RAT) 개발에도 AI 지원을 이용합니다.

GreyVibe가 사용한 이미지 속 LLM 마커
출처: WithSecure

공격 체인

PhantomMail

  • Google Drive 및 4sync 링크를 통해 악성 ZIP/RAR 압축 파일을 전달하는 스피어 피싱 이메일.
  • 악성코드를 배포하면서 위장용 PDF 또는 가짜 오류 페이지 사용.
  • 미끼는 우크라이나 정부, 비상 대응, 통신, 에너지 기관을 사칭합니다.

PhantomClick

  • Zoom 및 LAPAS 사이트를 가장한 가짜 CAPTCHA/ClickFix 페이지.
  • 피해자를 속여 위조된 Cloudflare 인증 프롬프트를 통해 자체 감염 명령을 실행하게 함.

PrincessClub

  • 가짜 우크라이나 성인·데이트 사이트를 통해 FallSpy 안드로이드 스파이웨어와 PhantomRelay/LegionRelay 윈도우 악성코드 배포.
  • 운영자는 가짜 여성 텔레그램 페르소나를 사용했으며, 이후 WebRTC 기반 실시간 통화 기능을 추가해 음성·영상 캡처가 가능하도록 함.
  • FPV 드론 및 UAV를 테마로 한 가짜 우크라이나 군 자선 사이트.
  • PrincessClub 캠페인과 인프라 및 도구를 공유함.

Nebo

  • “СПО НЕБО”라는 가짜 러시아 군 통신 로그인 페이지. 우크라이나 군인들을 속여 러시아 군용 터미널에 접속하고 있다고 믿게 함.

AI‑생성 콘텐츠

이 미끼들의 다양성과 품질이 눈에 띕니다. 연구진은 이를 여러 AI 도구(ChatGPT, Ideogram AI, Google Gemini)를 활용해 사실적인 텍스트, 이미지, 소셜 미디어 페르소나를 생성한 결과로 보고 있습니다.

맞춤형 도구

GreyVibe의 툴킷에는 LLM 지원으로 개발된 것으로 보이는 여러 맞춤형 난독화 도구와 유틸리티가 포함됩니다:

  • LOOKVALPS – PowerShell 난독화 도구
  • LOOKVALJS – JavaScript 난독화 도구
  • DAYLIGHT – 코드 패커/압축기
  • TEASOUP – 추가 난독화 레이어

악성코드

LegionRelay

  • AI 지원으로 개발된 것으로 추정되는 PowerShell 기반 원격 접근 트로잔(RAT).
  • 기능: 파일 탈취, 스크린샷 캡처, 브라우저 자격 증명 추출, 텔레그램·WhatsApp 데이터 유출, RDP 접근 설정 등.

PhantomRelay

  • 또 다른 PowerShell RAT.
  • 시스템 지문 채취, 동적 스크립트 로드, PowerShell 및 Windows 명령 실행을 지원함.

FallSpy

  • PrincessClub 및 Nebo 캠페인에 사용된 안드로이드 스파이웨어.
  • 연락처, 통화 기록, 디바이스·네트워크 정보, 위치 데이터, 미디어 파일, SIM 정보 등을 수집함.

악성코드 및 캠페인 연관도 개요
출처: WithSecure

귀속 및 위협 행위자 프로필

  • 활동은 러시아 국가 이익과 부합하지만, 성숙한 국가 차원 행위자에게서 기대되는 정교함과 운영 규율은 부족함.
  • 일부 샘플에는 이전 TrickBot 멤버(코드명 UAC‑0098)와 연관된 독특한 ISO 빌더가 포함돼 있었으며, 이는 러시아 침공 초기에 우크라이나를 표적으로 삼음.
  • 초기 테스트 샘플이 공개 스캔 플랫폼에 업로드된 점은 국가 차원 그룹에서는 흔치 않은 행위.
  • 특정 피해 머신에 암호화폐 채굴기가 배포되기도 함.

연구진은 GreyVibe가 “현직 또는 전직 사이버 범죄자”가 국가 지시 하에 활동하거나, 국가와 사이버 범죄자 구성원이 혼합된 하이브리드 팀일 가능성을 제시하고 있습니다.

방어책

WithSecure가 제공한 침해 지표(IoC) 를 활용하면 GreyVibe의 악성 활동을 완화할 수 있습니다:

GreyVibe IoCs (CSV)

0 조회
#it #security #tech-news
원문 보기
Share:
Back to Blog

관련 글

더 보기 »