北京
一封來自“烏克蘭政府部門”的郵件,一個看似正常的驗證碼頁面,一個曖昧的“成人俱樂部”邀請——這三樣東西背后,是同一個黑客組織在批量生產網絡攻擊。而它們的共同點是:大部分代碼都是AI寫的。
網絡安全公司WithSecure最新披露的報告,揭開了一個名為“GREYVIBE”的黑客組織。這個此前未被追蹤過的威脅團體,至少從2025年8月開始活躍,主要針對烏克蘭政府、軍事和民用部門發起攻擊。雖然尚無法明確歸因,但其行動模式、基礎設施和目標選擇,都與俄羅斯國家利益高度吻合——俄語痕跡、莫斯科時區活動規律、攻擊對象集中在烏克蘭機構。
但真正讓安全研究員們警覺的事另有所在:這個組織在用ChatGPT、Google Gemini和Ideogram AI批量生產攻擊組件。
AI寫釣魚郵件,也寫惡意代碼
GREYVIBE的攻擊手法談不上多高明——魚叉式釣魚郵件、偽造驗證碼頁面、搭建欺詐網站,搭配Google Drive分發惡意壓縮包。這些壓縮包打開后,受害者在看到一份“無害文檔”的同時,自定義加載器已經在后臺悄悄啟動感染鏈。
真正的變化藏在代碼細節里。研究人員在多個惡意組件中識別出了AI生成的代碼模式,包括混淆器和加載器(分別命名為DAYLIGHT和TEASOUP),以及一個基于PowerShell編寫的自定義遠程訪問木馬LegionRelay。簡單說,這個組織把生成式AI當成了研發加速器:技術底子不夠厚?沒關系,讓ChatGPT幫忙寫代碼。
這種操作帶來的直接效果是開發周期大幅縮短,而且由于不再依賴重復使用的代碼片段,傳統的攻擊歸因手段——通過代碼特征追溯攻擊者身份——變得越來越難使。一幫技術二流的攻擊者,靠著AI輔助,硬是折騰出了持續進化的攻擊工具。
AI幫忙寫木馬,也幫了倒忙
有意思的反轉來了:AI雖然加速了開發,也埋下了坑。
WithSecure的研究人員發現,LegionRelay這個由AI協助編寫的木馬存在設計缺陷,后端功能直接暴露了出來。于是諷刺的一幕出現了——攻擊者用AI寫惡意代碼試圖隱藏行蹤,結果AI留下的漏洞反而讓安全團隊得以持續監控攻擊者的活動。用AI加速攻擊?這回加速的是自己的暴露速度。
工具箱:WebSocket木馬和安卓間諜軟件
GREYVIBE的武器庫里,兩款工具尤其值得關注:
一款是PhantomRelay,模塊化遠程訪問木馬,通過WebSocket協議執行命令。這種架構讓攻擊者可以更靈活地控制被感染的設備,同時網絡流量也更難被傳統防火墻識別。
另一款是FallSpy,專門針對安卓設備的間諜軟件,會竊取通訊錄、位置信息和設備數據,并把敏感信息回傳。用來分發這款間諜軟件的渠道,是那些偽裝的“成人俱樂部”網站,目標精確指向烏克蘭人,特別是軍事人員。這些網站不單是投放惡意軟件的載體,還會在Telegram等通訊平臺上用虛假身份進行社交工程誘導。
AI讓門檻變低,也讓破綻變多
GREYVIBE的案例折射出一個尷尬的現實:生成式AI正在降低網絡攻擊的技術門檻,一幫水平有限的攻擊者也能快速拼裝出像模像樣的攻擊工具。但反過來,AI生成代碼中的結構性問題和設計缺陷,也在給防御方創造新的突破口。用得好是加速器,用得不好就是自曝器。
當AI寫出來的釣魚郵件越來越以假亂真,當AI生成的木馬在暗網里流通,傳統靠代碼特征做歸因的安全模型確實在被挑戰。但至少目前來看,AI還沒聰明到能幫攻擊者把一切漏洞都堵上——這一點,正在監控GREYVIBE活動的研究員們大概最有發言權。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
