En bref

  • WithSecure Labs a révélé le 28 mai 2026 l’existence de GREYVIBE, un nouveau groupe APT russophone ciblant l’Ukraine depuis août 2025 via des cyberattaques intégrant systématiquement l’intelligence artificielle générative.
  • L’arsenal du groupe — le malware LegionRelay — combine vol de fichiers, capture d’écran, exfiltration Telegram/WhatsApp et backdoor RDP, développé en grande partie avec ChatGPT et Google Gemini.
  • L’intégration systématique de l’IA dans la chaîne d’attaque réduit les besoins en expertise technique, complique l’attribution et impose aux défenseurs une migration urgente vers la détection comportementale plutôt que basée sur les signatures.

Un nouveau groupe APT émerge à l’ombre de la guerre en Ukraine

Le 28 mai 2026, les chercheurs de WithSecure Labs ont publié une analyse technique exhaustive révélant l’existence d’un groupe de menace persistante avancée (APT) jusqu’alors non documenté, baptisé GREYVIBE. Ce collectif russophone, identifié comme actif depuis au moins août 2025, concentre l’ensemble de ses opérations sur l’Ukraine et les entités liées à l’Ukraine à l’international, dans le contexte direct du conflit russo-ukrainien. L’attribution à la sphère d’influence du Kremlin repose sur une convergence d’indicateurs solides : fuseau horaire d’activité aligné sur la Russie, objectifs de collecte de renseignement cohérents avec les intérêts russes, et liens techniques établis avec TrickBot et UAC-0098, deux groupes historiquement proches des services de renseignement russes.

Ce qui distingue radicalement GREYVIBE des autres APT documentés est l’intégration systématique des modèles de langage à grande échelle (LLM) dans l’ensemble de sa chaîne opérationnelle. Selon WithSecure, le groupe a utilisé OpenAI ChatGPT, Google Gemini et Ideogram AI de façon que les chercheurs qualifient d’“opérationnellement intégrée plutôt qu’isolée ou expérimentale”. Ces outils ont servi à concevoir les leurres de hameçonnage, développer et obfusquer les scripts malveillants, configurer l’infrastructure C2, générer les images pour les faux sites, et piloter certaines commandes post-compromission. Cette approche marque une rupture nette avec les APT traditionnels où chaque composant de l’arsenal est développé manuellement par des équipes hautement spécialisées.

L’arsenal central du groupe s’articule autour de LegionRelay, un malware maison multifonctions. Cet outil est capable de voler des fichiers locaux, capturer des écrans à intervalles réguliers, dérober des identifiants stockés dans les navigateurs web, extraire les conversations et fichiers Telegram et WhatsApp, et ouvrir des accès RDP persistants sur les machines compromises pour permettre un contrôle à distance ultérieur. La particularité révélée par WithSecure est particulièrement instructive : des failles de conception dans LegionRelay — attribuées directement à son développement assisté par LLM — ont exposé l’infrastructure backend du groupe et ont permis aux chercheurs de surveiller ses activités pendant plusieurs semaines. Paradoxalement, l’IA qui accélère le développement a introduit des défauts structurels qui ont facilité la contre-surveillance.

Les vecteurs d’infection initiaux documentés sont multiples et témoignent d’une stratégie délibérément multicouche. GREYVIBE a eu recours à des emails de spear-phishing ciblant en ukrainien, à de fausses pages CAPTCHA (technique dite ClickFix), et à des faux sites se faisant passer pour des clubs adultes ukrainiens — une technique d’ingénierie sociale exploitant l’isolement affectif lié au conflit. Dans une sous-campagne baptisée PrincessClub, active entre mars et avril 2026, le groupe a créé des sites imitant des fondations caritatives ukrainiennes collectant des fonds pour les drones FPV et les UAV utilisés en combat, capitalisant sur la solidarité nationale.

Une tactique d’ingénierie sociale particulièrement élaborée mérite d’être détaillée. GREYVIBE a employé de faux personnages féminins sur Telegram, en infiltrant des canaux de rencontres locaux ukrainiens, afin d’établir progressivement une relation de confiance avec des cibles avant de les orienter vers les sites leurres. Les versions ultérieures des sites PrincessClub ont ajouté une fonctionnalité d’appel en direct via WebRTC, transformant le site leurre en un outil de capture audio et vidéo en temps réel — un mécanisme de collecte de renseignement humain (HUMINT) numérique fonctionnant après infection.

La victimologie de GREYVIBE est délibérément large : organisations militaires, institutionnelles, entreprises et civils ukrainiens sont tous dans le viseur, ainsi que des entités liées à l’Ukraine dans des pays tiers. Cette diversité de profils de victimes est elle-même interprétée par WithSecure comme un signe de l’usage massif de l’IA : l’automatisation du développement de leurres et d’outils permet d’adapter rapidement le ciblage sans les contraintes humaines de spécialisation. Un renseigneur humain ne peut pas simultanément maîtriser les codes des milieux militaires, caritatifs et des rencontres en ligne — l’IA levère cette limite.

Les liens avec d’autres acteurs connus renforcent l’attribution. WithSecure a identifié des chevauchements d’infrastructure C2, de tooling post-compromission et de scripts LegionRelay obfusqués via la technique DAYLIGHT entre GREYVIBE et des campagnes attribuées à UAC-0098 — un groupe qui avait collaboré avec les opérateurs du ransomware Conti avant sa désintégration. Ces connexions confirment une tendance documentée : la perméabilité croissante entre crime organisé cybernétique et opérations d’espionnage étatique dans l’écosystème russophone.

La publication de WithSecure intervient dans un contexte d’escalade généralisée de l’usage de l’IA par les acteurs étatiques offensifs. En mars 2026, le rapport GTIG de Google révélait qu’APT45 (Corée du Nord) avait utilisé des LLM pour générer un zero-day exploitable en moins de 96 heures. GREYVIBE vient confirmer que cette tendance s’étend à la sphère russe et ne constitue plus une exception mais une norme émergente dans les opérations cyber offensives des états.

Pourquoi l’IA dans les APT change fondamentalement la donne défensive

L’émergence de GREYVIBE illustre la démocratisation des capacités offensives avancées. Auparavant, développer un outil comme LegionRelay nécessitait des compétences techniques de haut niveau. L’assistance des LLM permet désormais à un groupe de compétence technique moyenne d’opérer à un niveau autrefois réservé aux élites. Les “erreurs de débutant” dans le code de LegionRelay sont révélatrices : le groupe a bénéficié de capacités dépassant sa maîtrise intrinsèque, l’IA étant en quelque sorte devenue son équipe de développement privée.

Pour les équipes de défense, cela impose une reconfiguration des modèles de détection. Les signatures comportementales des APT traditionnels étaient dérivées de leur réutilisation d’outils et d’infrastructure. Un groupe qui génère du code malveillant obfusqué à chaque campagne via LLM réduit la surface de détection basée sur les IOC et les signatures statiques. La détection comportementale basée sur les TTPs du framework MITRE ATT&CK, le threat hunting actif et l’analyse des flux réseau vers des C2 non catégorisés deviennent essentiels.

Le vecteur des faux sites caritatifs ukrainiens illustre la dimension hybride de la menace. En exploitant les ressorts émotionnels de la solidarité nationale en temps de guerre, GREYVIBE démontre une compréhension fine du paysage socio-politique de ses cibles. Cette sophistication dans l’ingénierie sociale contextuelle implique des analystes humains capables d’instrumentaliser les narratifs culturels — un avertissement que la menace hybride ne se réduit pas à ses composantes techniques.

Du point de vue de la gouvernance des IA, la publication de WithSecure pose une question urgente aux grandes plateformes : ChatGPT et Gemini sont-ils suffisamment équipés pour détecter leur usage à des fins offensives cyber ? OpenAI et Google affirment avoir mis en place des mécanismes de détection et de résiliation de comptes, mais GREYVIBE démontre que ces garde-fous restent contournables par des acteurs déterminés. La question d’une responsabilité accrue des fournisseurs de LLM est désormais posée au niveau réglementaire européen dans le cadre de l’EU AI Act.

Ce qu’il faut retenir

  • GREYVIBE est un nouveau groupe APT russophone documenté par WithSecure Labs, actif depuis août 2025, qui utilise ChatGPT, Gemini et Ideogram AI de manière opérationnellement intégrée pour attaquer des cibles ukrainiennes via le malware LegionRelay.
  • Des failles de conception dans LegionRelay, attribuées à son développement assisté par IA, ont permis aux chercheurs de surveiller le groupe — l’IA accélère le développement mais peut introduire des vulnérabilités structurelles exploitables par les défenseurs.
  • Priorité défensive : migrer vers la détection comportementale (MITRE ATT&CK), activer le threat hunting actif, et sensibiliser les utilisateurs aux leurres à fort ancrage contextuel (faux sites caritatifs, faux profils de rencontres).

Comment détecter les malwares développés par IA comme LegionRelay ?

Les malwares assistés par LLM présentent souvent une variabilité accrue dans leur code et une obfuscation agressive, réduisant l’efficacité des signatures statiques. Les meilleures défenses sont les EDR modernes capables de détecter des comportements anormaux indépendamment de la signature, l’analyse sandbox comportementale, et la surveillance des flux réseau vers des C2 inconnus ou non catégorisés. La sensibilisation des utilisateurs aux vecteurs de phishing contextuel reste le premier rempart.

Besoin d’un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact