A era dos ciberataques com inteligência artificial já não é mais uma previsão para o futuro. Ferramentas de IA generativa, criadas originalmente para aumentar a produtividade, auxiliar na programação e facilitar tarefas do cotidiano, passaram a ser utilizadas também por grupos criminosos e operações de espionagem digital. O resultado é uma nova geração de ameaças mais convincentes, automatizadas e difíceis de detectar.
Uma recente investigação da empresa de segurança WithSecure revelou detalhes sobre as atividades do grupo GreyVibe, uma operação associada a interesses russos que tem conduzido campanhas de espionagem contra organizações e setores estratégicos da Ucrânia. O aspecto mais preocupante do relatório é o uso de modelos de linguagem como ChatGPT e Gemini para criar conteúdos fraudulentos, desenvolver componentes de malware e aprimorar técnicas de engenharia social.
A descoberta reforça um cenário que especialistas vêm alertando há anos: a inteligência artificial está reduzindo barreiras técnicas para criminosos digitais. Ferramentas que antes exigiam equipes altamente especializadas agora podem ser produzidas com maior velocidade e menor custo, ampliando o alcance de operações de espionagem e ataques direcionados.
Quem é o grupo GreyVibe e quais seus objetivos
Segundo a análise da WithSecure, o GreyVibe é um grupo de ameaça que atua principalmente contra interesses ucranianos, concentrando suas operações em setores governamentais, militares e estratégicos.
Embora não existam provas públicas definitivas que apontem um vínculo formal com o governo russo, diversos elementos indicam alinhamento com objetivos geopolíticos favoráveis à Rússia. Os alvos escolhidos, as temáticas utilizadas nas campanhas e os períodos de atividade coincidem com interesses observados no contexto da guerra entre Rússia e Ucrânia.
Os pesquisadores acreditam que o grupo atua como uma espécie de operação híbrida. Em vez de representar uma unidade estatal altamente sofisticada, o GreyVibe parece reunir indivíduos com experiência em crimes cibernéticos tradicionais, mas que executam missões de espionagem alinhadas a interesses estratégicos.
Esse modelo híbrido vem se tornando cada vez mais comum no cenário moderno de ameaças digitais, dificultando a atribuição direta de responsabilidade e tornando as investigações mais complexas.
Imagem: WithSecure
As cinco táticas de ataque utilizadas na campanha
A investigação identificou diversas campanhas independentes, cada uma adaptada para atingir perfis específicos de vítimas.
PhantomMail e PhantomClick
A campanha PhantomMail utilizava e-mails extremamente convincentes para atrair vítimas. Os textos imitavam comunicações legítimas e exploravam temas sensíveis relacionados ao conflito na Ucrânia.
Já o PhantomClick complementava essa estratégia por meio de páginas falsas de verificação CAPTCHA. Ao acreditar que estava realizando uma simples validação de segurança, o usuário acabava executando comandos maliciosos em seu próprio sistema.
Esse tipo de abordagem demonstra como os ataques cibernéticos com IA estão se tornando mais eficazes. Com a ajuda de modelos de linguagem, criminosos conseguem produzir mensagens naturais, sem erros gramaticais evidentes e adaptadas ao contexto da vítima.
PrincessClub e DroneLink
As operações PrincessClub e DroneLink apostavam fortemente na engenharia social.
Os atacantes exploravam temas militares, informações sobre drones e comunicações supostamente relacionadas ao esforço de guerra ucraniano. O objetivo era despertar interesse imediato e induzir o download de arquivos ou a interação com sistemas comprometidos.
Em alguns casos, foram observadas técnicas envolvendo WebRTC, tecnologia normalmente utilizada para comunicação em tempo real em navegadores. Essa abordagem permitia estabelecer canais de comunicação discretos entre os dispositivos infectados e a infraestrutura dos operadores.
O falso login Nebo
Outra campanha identificada foi o chamado Nebo Login.
Nesse caso, os criminosos criaram páginas falsas que simulavam sistemas legítimos utilizados por militares e profissionais ligados à defesa. As interfaces eram cuidadosamente elaboradas para parecer autênticas, aumentando as chances de captura de credenciais.
O uso de IA generativa contribuiu para a criação rápida de elementos visuais, textos e conteúdos adaptados ao contexto dos usuários-alvo, tornando a fraude mais convincente.
O papel do ChatGPT e do Gemini no desenvolvimento de malwares
Um dos aspectos mais interessantes da investigação envolve o uso de ferramentas de inteligência artificial durante o desenvolvimento das operações.
Os pesquisadores encontraram indícios de que o grupo utilizou ChatGPT e Gemini para auxiliar em tarefas técnicas e criativas relacionadas às campanhas.
Entre os usos identificados estão a geração de marcadores para imagens, criação de conteúdos utilizados em iscas de phishing e apoio na programação de componentes específicos de malware.
A IA também teria sido empregada no desenvolvimento de mecanismos de ofuscação, utilizados para esconder o comportamento malicioso dos programas e dificultar a análise por soluções de segurança.
Entre as ferramentas observadas aparecem nomes como LOOKVALPS, além dos cavalos de troia baseados em PowerShell chamados LegionRelay e PhantomRelay.
Essas ameaças foram projetadas para estabelecer comunicação remota com os operadores, receber comandos adicionais e ampliar o controle sobre sistemas comprometidos.
O caso mostra que o uso de IA em malwares não significa necessariamente que a inteligência artificial cria ataques inteiros de forma autônoma. Na prática, ela funciona como um acelerador de produtividade para os atacantes, reduzindo o tempo necessário para desenvolver ferramentas e campanhas.
FallSpy: O perigo silencioso para dispositivos Android
Além dos ataques direcionados a computadores, a investigação revelou a existência do spyware FallSpy, voltado para dispositivos Android.
Esse software malicioso foi desenvolvido para coletar informações sensíveis das vítimas de maneira discreta.
Entre os dados potencialmente capturados estão:
- Mensagens de texto;
- Informações de contatos;
- Registros de chamadas;
- Dados de localização;
- Arquivos armazenados no dispositivo;
- Informações de aplicativos instalados.
O grande risco desse tipo de spyware está na capacidade de permanecer ativo por longos períodos sem chamar atenção.
Para profissionais ligados a setores estratégicos, militares ou governamentais, uma infecção desse tipo pode resultar em vazamento de informações valiosas para operações de inteligência.
O caso também serve como alerta para usuários comuns, já que técnicas desenvolvidas inicialmente para espionagem costumam migrar posteriormente para campanhas de cibercrime em larga escala.
Criminosos comuns ou espiões de Estado?
Uma das conclusões mais interessantes da WithSecure é que o GreyVibe não apresenta o mesmo nível de sofisticação normalmente associado aos grupos estatais mais avançados.
Os pesquisadores observaram características que lembram operações de cibercrime tradicionais, incluindo o uso de ferramentas amplamente disponíveis, experimentação em plataformas públicas e até atividades associadas à mineração de criptomoedas.
Também existem indícios de possíveis conexões históricas com indivíduos ligados ao ecossistema do extinto grupo TrickBot, conhecido por campanhas de malware e operações financeiras ilícitas.
Essa combinação cria um perfil híbrido. O grupo demonstra conhecimento técnico suficiente para conduzir operações de espionagem relevantes, mas sem a estrutura altamente especializada observada em algumas unidades estatais.
Isso evidencia uma tendência crescente no cenário de ameaças digitais: a colaboração informal entre criminosos, mercenários digitais e interesses geopolíticos.
Como se proteger de ameaças baseadas em inteligência artificial
O avanço dos ciberataques com inteligência artificial exige uma mudança de postura por parte de usuários, empresas e organizações.
Mensagens bem escritas, páginas falsas extremamente realistas e malwares personalizados tornam cada vez mais difícil distinguir ameaças de conteúdos legítimos.
Algumas medidas continuam sendo fundamentais:
- Desconfiar de mensagens urgentes ou inesperadas;
- Verificar cuidadosamente links e páginas de login;
- Utilizar autenticação multifator;
- Manter sistemas e aplicativos atualizados;
- Instalar soluções de segurança confiáveis;
- Evitar baixar arquivos de fontes desconhecidas;
- Realizar treinamentos frequentes de conscientização digital.
Ao mesmo tempo, ferramentas de defesa também estão incorporando inteligência artificial para detectar padrões suspeitos e responder mais rapidamente a incidentes.
A disputa entre atacantes e defensores entrou em uma nova fase, na qual a IA se tornou um componente central de ambos os lados.
O caso do GreyVibe demonstra que a inteligência artificial já faz parte do arsenal moderno da guerra cibernética. Embora tecnologias como ChatGPT e Gemini tragam benefícios enormes para produtividade, educação e desenvolvimento de software, também podem ser exploradas por agentes maliciosos em campanhas de espionagem e ataques direcionados.
À medida que essas ferramentas evoluem, cresce a necessidade de vigilância, educação digital e investimentos em segurança. Afinal, a mesma tecnologia capaz de impulsionar a inovação também pode ser usada para criar ameaças cada vez mais sofisticadas.
