Hackers russos usam LLMs para criar malware, phishing e infraestrutura C2 em ataques contra a Ucrânia

Grupo alinhado a interesses russos utiliza inteligência artificial para desenvolver malware, criar campanhas de phishing e operar infraestrutura de comando e controle em operações de espionagem digital.

Hackers russos usam LLMs para criar malware, phishing e infraestrutura C2

Pesquisadores da WithSecure identificaram um grupo de ameaças conhecido como Greyvibe, associado a interesses russos, que vem incorporando modelos de linguagem de grande porte (LLMs) em diferentes fases de operações cibernéticas direcionadas à Ucrânia. A investigação indica que a inteligência artificial não é utilizada apenas para criar textos de phishing, mas também para desenvolver malware, scripts personalizados e componentes de infraestrutura usados em ataques de espionagem.

As campanhas observadas desde 2025 tiveram como alvo organizações governamentais, militares e empresas privadas ucranianas. Os invasores empregaram mensagens de spear phishing que simulavam comunicações oficiais de órgãos públicos, induzindo as vítimas a baixar arquivos maliciosos hospedados em serviços legítimos de armazenamento.

Entre as ferramentas atribuídas ao grupo estão os malwares PhantomRelay e LegionRelay, ambos utilizados para acesso remoto, execução de comandos, exfiltração de dados e coleta de informações dos sistemas comprometidos. Os pesquisadores também identificaram o FallSpy, um spyware para Android capaz de coletar contatos, registros de chamadas, localização, informações do dispositivo e arquivos armazenados no aparelho.

Outra técnica utilizada pelo Greyvibe envolve ataques do tipo ClickFix, nos quais páginas falsas simulam verificações de segurança e convencem usuários a executar comandos maliciosos manualmente no Windows. Além disso, o grupo criou sites fraudulentos relacionados a organizações de caridade e temas ligados ao conflito na Ucrânia para distribuir malware e ampliar o alcance das campanhas.

Segundo a WithSecure, diversos artefatos analisados apresentam indícios de terem sido produzidos ou aprimorados com auxílio de ferramentas de IA generativa, incluindo modelos como ChatGPT, Gemini e Ideogram AI. O uso dessas tecnologias permite acelerar o desenvolvimento de códigos, modificar rapidamente a infraestrutura utilizada nos ataques e diversificar técnicas para dificultar a detecção por equipes de segurança.

A pesquisa destaca uma tendência crescente no cenário de ameaças: atores alinhados a interesses estatais estão incorporando inteligência artificial ao ciclo operacional completo de suas campanhas. Essa abordagem reduz o tempo necessário para criar novas ferramentas, facilita adaptações rápidas e aumenta a complexidade das investigações de atribuição.

Para as organizações, o caso reforça a importância de adotar uma estratégia de defesa em profundidade, incluindo conscientização contra phishing, monitoramento de execução de scripts, proteção de dispositivos móveis, análise de tráfego de comando e controle (C2), controle de acessos remotos e mecanismos capazes de identificar tentativas de exfiltração de dados em endpoints e aplicativos corporativos.