مجموعة GREYVIBE تستهدف أوكرانيا بهجمات مدعومة بالذكاء الاصطناعي

مقدمة تحليلية

في أغسطس 2025، رصدت مختبرات الأمن السيبراني حملة هجمات إلكترونية مكثفة ومستمرة تستهدف البنى التحتية العسكرية، الحكومية، والمدنية في أوكرانيا. وبحسب التقرير التقني الشامل الصادر عن شركة WithSecure في مايو 2026، فإن هذه الهجمات تنسب إلى جهة تهديد سيبراني جديدة ومستقلة جرى تصنيفها تحت الاسم الرمزي GREYVIBE. تشير الأدلة التحليلية إلى أن هذه المجموعة تعمل ضمن النطاق الزمني لروسيا الاتحادية وتوجه نشاطها بما يتوافق مع المصالح الجيوسياسية والاستخباراتية للكرملين، لا سيما في سياق الحرب الروسية الأوكرانية المستمرة.

السمة الأبرز التي تميز أنشطة GREYVIBE هي الاعتماد المنهجي على أدوات الذكاء الاصطناعي التوليدي GenAI والنماذج اللغوية الضخمة LLMs مثل OpenAI ChatGPT وGoogle Gemini وIdeogram AI. تستغل المجموعة هذه التقنيات لسد الفجوة في مهارات مبرمجيها وتطوير ترسانة متنوعة من أدوات التعمية، والبرمجيات الوسيطة، ومحركات التحميل المخصصة. يمثل هذا التطور تحولاً نوعياً في بنية التهديدات الهجينة، حيث تمزج المجموعة بين أساليب الجريمة السيبرانية التقليدية والعمليات المدعومة من الدول، مما يجعل عمليات التتبع والتحليل الجنائي الرقمي أكثر تعقيداً من أي وقت مضى.

التحليل التقني

تستخدم مجموعة GREYVIBE خمس قنوات هجومية متكاملة ومصممة بعناية لاختراق الضحايا، وهي تتميز بالمرونة وتنوع طرق التوصيل:

• حملة PhantomMail: تعتمد على رسائل البريد الإلكتروني الاحتيالية الموجهة spear-phishing لتوزيع روابط تقود إلى ملفات مضغوطة بصيغتي ZIP أو RAR مخزنة على منصات Google Drive و4sync. تحتوي هذه الأرشيفات على أدوات تحميل برمجية مكتوبة بلغة JavaScript تُطلق وثيقة تمويهية لتهدئة شكوك الضحية، بينما تعمل في الخلفية برمجية الخبيثة PhantomRelay، وهي أداة وصول عن بعد RAT مبنية على PowerShell لجمع معلومات النظام وتشغيل الأوامر البرمجية.
• حملة PhantomClick: تستغل أسلوب ClickFix عبر صفحات اختبار كابتشا CAPTCHA مزيفة مستضافة على نطاقات تتقمص هويات منصات شهيرة مثل Zoom وLAPAS. يُقنع هذا الأسلوب المستخدمين يدوياً بتشغيل أوامر برمجية على أجهزتهم لتثبيت السلسلة الهجومية لبرمجية PhantomRelay.
• حملة PrincessClub: تعتمد على مواقع إباحية أوكرانية وهمية، حيث تُستخدم لبث برمجيات التجسس FallSpy على أنظمة Android، أو LegionRelay وPhantomRelayV1 على أنظمة Windows. تتميز النسخ الأحدث من هذه المواقع بدمج ميزة اتصال حي تعتمد على بروتوكول WebRTC لتسجيل الصوت والفيديو مباشرة من أجهزة الضحايا.
• حملة DroneLink: تستخدم مواقع ويب مزيفة تدعي أنها منصات خيرية لدعم القوات المسلحة الأوكرانية، لتوصيل برمجيات شبكات VPN الآمنة WireGuard بالتوازي مع برمجية التجسس LegionRelay.
• حملة Nebo: تعتمد على نموذج خبيث من برمجية FallSpy يقلد شاشة تسجيل دخول باللغة الروسية، والهدف الأساسي هو تضليل أفراد الجيش الأوكراني وإيهامهم بأنهم يصلون إلى نظام اتصال عسكري روسي مخترق.

تعتبر برمجية LegionRelay العمود الفقري لعمليات الاستطلاع والسرقة للمجموعة؛ وهي أداة خفيفة تعتمد على PowerShell وتوفر للمهاجمين قدرات واسعة تشمل حصر الملفات وسرقتها، التقاط صور الشاشة، استخراج بيانات متصفحات الإنترنت، سرقة ملفات تطبيقي Telegram وWhatsApp، وإعداد واجهات الوصول لبروتوكول سطح المكتب البعيد RDP.

توضح التحليلات الجنائية لـ WithSecure أن استخدام المطورين للذكاء الاصطناعي التوليدي أنتج آثاراً إيجابية وسلبية على حد سواء للمجموعة. فبينما مكنهم الذكاء الاصطناعي من إنتاج وتعديل برمجياتهم بسرعة فائقة، فإنه تسبب أيضاً في إدخال أخطاء تصميمية وهيكلية فادحة في برمجية LegionRelay، مما سمح للباحثين الأمنيين بكشف آليات عمل الخادم الخلفي للمجموعة وفك شفرته بسهولة.

السياق وتأثير السوق

يتزامن ظهور GREYVIBE مع اتجاه متزايد للجهات الفاعلة في مجال التهديدات السيبرانية نحو دمج نموذج الذكاء الاصطناعي لتقليص دورة حياة تطوير البرمجيات الخبيثة. في الفترات السابقة، كان تطوير برمجية خبيثة متطورة وتعميتها يتطلب أسابيع من العمل والخبرة المتقدمة في هندسة لغات التجميع والـ C++. اليوم، تسمح المنصات الذكية للمجموعات متوسطة الخبرة بإعادة هيكلة وتوليد شيفرات برمجية خبيثة فريدة بشكل مستمر.

هذا الأسلوب يضرب في الصميم المنهجيات التقليدية لتصنيف وتجميع التهديدات السيبرانية. تعتمد مراكز العمليات الأمنية SOC عادةً على البصمات التقنية الثابتة مثل قيم التجزئة Hashes لملفات التعريف لتحديد المجموعات وتصنيفها. وعندما يقوم المهاجم بتحديث برمجياته وتوليد خوارزميات تعمية جديدة أسبوعياً بمساعدة الذكاء الاصطناعي، تصبح هذه البصمات غير مجدية، مما يجبر صناعة الأمن السيبراني على التحول الكامل نحو كشف السلوكيات الديناميكية بدلاً من الاعتماد على قواعد البيانات الثابتة.

علاوة على ذلك، فإن الرابط الوثيق بين GREYVIBE وبيئة الجريمة السيبرانية الروسية الأوسع (مثل أدوات بناء ملفات ISO المرتبطة بمجموعة TrickBot وعصابة UAC-0098 المتفرعة من Conti) يوضح تداخل الخطوط الفاصلة بين المرتزقة السيبرانيين وعملاء الاستخبارات الحكومية. يتيح هذا النموذج الهجين للدول إمكانية نكران المسؤولية السيادية الفاعلة، بينما تواصل الاستفادة من الخبرات الميدانية لشبكات الجريمة المنظمة.

رؤية Glitch4Techs

تعد حالة مجموعة GREYVIBE بمثابة جرس إنذار حقيقي لمجتمع الدفاع الرقمي. من ناحية، تكشف هذه الحملات أن الذكاء الاصطناعي قد ديمقراطي التهديدات السيبرانية المتطورة؛ فلم يعد الهجوم المعقد حكراً على النخب التكنولوجية المدعومة بمليارات الدولارات. أي مجموعة تمتلك اشتراكات في منصات LLMs التجارية قادرة الآن على إطلاق حملات تجسس وسرقة معلومات ذات طابع عسكري واستراتيجي.

ومع ذلك، فإن هذه القضية تكشف أيضاً عن كعب أخيل أو نقطة الضعف القاتلة في البرمجيات التي يتم إنشاؤها عبر نماذج الذكاء الاصطناعي. إن افتقار المهاجمين للفهم العميق للهندسة البرمجية وتكاسلهم في مراجعة الأكواد المنتجة آلياً يؤدي حتماً إلى ترك ثغرات تصميمية كبرى داخل برمجياتهم الخبيثة. بالإضافة إلى ذلك، فإن السلوك غير المنضبط مثل رفع العينات التجريبية المبكرة إلى موقع توتال فايروس VirusTotal، واستخدام عبارات عامية مثل letsrollboyos في ملفات التطوير، ونشر أدوات تعدين العملات الرقمية XMRig، كلها إشارات تدل على غياب الانضباط الصارم للعمليات الاستخبارية النخبوية التقليدية.

نتوقع في Glitch4Techs أن تشهد السنوات القادمة ولادة جيل جديد من أنظمة الدفاع السيبراني الذاتية التي تقودها خوارزميات ذكاء اصطناعي دفاعية لمواجهة التوليد الآلي واللامتناهي للمحملات الخبيثة من المهاجمين. لن ينقذ المؤسسات الكبرى مستقبلاً سوى تبني استراتيجيات صفر ثقة Zero Trust الصارمة والمراقبة الفورية المستندة إلى السلوك المعزز بالتعلم الآلي.