資安業者 WithSecure 近期揭露，一個與俄羅斯相關的駭客組織 GreyVibe，正利用生成式人工智慧（AI）技術，大規模強化其網路攻擊能力，使得追蹤與歸因工作變得更加複雜。

根據 WithSecure 的說法，GreyVibe 是一個未曾被記錄在案的威脅行為者，與俄羅斯有密切關聯，並被歸因於來自莫斯科時區、說俄語的駭客。自 2025 年 8 月以來，GreyVibe 主要鎖定烏克蘭的軍事、政府、民間及商業實體發動攻擊。

WithSecure 的資深威脅情報研究員 Mohammad Kazem Hassan Nejad 指出，GreyVibe 獨特之處不在於其原始技術實力，而是利用 AI 驅動的操作企圖心。該組織運用生成式 AI 加速開發、彌補能力差距，並產生全新的操作特徵，藉此混淆追蹤和歸因。GreyVibe 被發現使用包括 Ideogram AI、ChatGPT 和 Google Gemini 等頂尖 AI 模型。

研究人員發現，GreyVibe 在其由大型語言模型（LLM）生成的 Windows 惡意軟體 LegionRelay 中，意外地引入了設計缺陷。此一失誤反使 WithSecure 的研究人員得以從 2025 年年中開始，長期監測並追蹤 GreyVibe 的活動。該組織的初始誘騙手法多樣且高度依賴 AI，包括透過網路釣魚電子郵件引導受害者下載第三方檔案共享服務上的 ZIP 或 RAR 壓縮檔。

另一個名為 PrincessClub 的惡意活動，則利用虛假的成人俱樂部網站來散播 Fallspy（Android 惡意軟體）以及 Windows 平台上的 PhantomRelay 或 LegionRelay。受害者會被偽裝成女性的駭客透過 Telegram 或交友網站誘騙。

WithSecure 發現，GreyVibe 大量使用 AI 不僅彌補了自身能力上的不足，也減少了「歷史活動的關聯性」，進而使追蹤變得更加困難。儘管 WithSecure 尚未找到 GreyVibe 曾以其他名稱活動的證據，但已偵測到與 TrickBot 惡意軟體生態系統及 UAC-0098 有潛在關聯的獨特 ISO 檔案建立工具。

GreyVibe 目前仍持續活躍，其成員身份不明。WithSecure 預期，由於該組織對 AI 的廣泛應用，其攻擊手法將持續演變與多元化，可能進一步增加持續偵測、追蹤和歸因的複雜度。