I ricercatori di WithSecure hanno scoperto cinque campagne di cyberspionaggio, effettuate dal gruppo GreyVibe, che sfruttano diversi tool AI, tra cui ChatGPT di OpenAI e Gemini di Google. I cybercriminali sono di origine russa e colpiscono principalmente obiettivi (militari, civili, aziende) in Ucraina. Gli attacchi sono in corso da agosto 2025.
Cyberspionaggio con l’assistenza di ChatGPT e Gemini
Le armi digitali del gruppo GreyVibe sono piuttosto numerose. Gli esperti di WithSecure hanno individuato cinque campagne distinte che condividono infrastrutture e malware: PhantomMail, PhantomClick, PrincessClub, DroneLink e Nebo. PhantomMail prevede l’invio di email di spear phishing con link ad archivi ZIP/RAR ospitati su Google Drive e altri servizi. Quando l’utente apre i file PDF contenuti nell’archivio viene eseguito PhantomRelay, un RAT (Remote Access Trojan).
PhantomClick è il classico attacco ClickFix. Per dimostrare di non essere un bot è necessario risolvere un CAPTCHA eseguendo i comandi indicati. Anche in questo caso viene scaricato PhantomRelay. PrincessClub è un falso sito per adulti che offre la possibilità di contattare una persona tramite app per Android e Windows. In realtà vengono installati PhantomRelay o LegionRelay (RAT) su Windows e FallSpy (spyware) su Android.
DroneLink è un falso sito sui droni usato per distribuire LegionRelay. Infine, Nebo è una falsa pagina di login per l’accesso ad un terminale militare russo. Anche in questo caso viene scaricato FallSpy. Per tutte queste campagne sono stati utilizzati ChatGPT e Gemini. I cybercriminali hanno sfruttato le capacità dei chatbot per scrivere il codice dei malware e generare immagini.
È chiaro quindi che i tool AI permettono di velocizzare l’esecuzione di attacchi informatici su larga scala. Ecco perché Anthropic non vuole rilasciare pubblicamente il modello Claude Mythos prima di aver implementato protezioni che impediscono abusi.
Ti potrebbe interessare
5 giu 2026