GREYVIBE Threat Intelligence Briefing

Quand les attaquants s’emparent de l’IA : au coeur d’un groupe lié à la Russie qui redessine le paysage des cybermenaces en Europe.

Un ensemble de campagnes de cyberattaques alimentées par l’IA sont déjà en cours à travers l’Europe. Nous appelons le groupe qui en est à l’origine « GREYVIBE ». C’est un groupe malveillant lié à la Russie, actif depuis août 2025, ciblant des cibles en Ukraine et plus loin en Europe.

Qu’est-ce-qui distingue GREYVIBE des autres groupes de menace ? L’utilisation systématique de l’IA générative (GenAI) et des grands modèles de langage (LLM) à chaque phase de leurs opérations. Les preuves indiquent le recours à plusieurs plateformes d’IA, dont ChatGPT, Google Gemini et des outils de génération d’images pour créer des sites d’hameçonnage, développer des chevaux de Troie d’accès à distance (RAT) sur mesure, construire des frameworks d’obfuscation et générer des scripts post-compromission.

L’IA générative a abaissé le seuil d’entrée pour des attaques de niveau espionnage. Des groupes qui n’étaient pas capables d’écrire leurs propres logiciels malveillants il y a un an peuvent désormais livrer un RAT fonctionnel en quelques jours et ils ne ciblent plus uniquement les grandes entreprises du classement Fortune 500 ou les ministères. Les ETI à travers l’Europe sont désormais pleinement dans leur ligne de mire.

L’équipe de Threat Intelligence de WithSecure a passé des mois à traquer GREYVIBE, à effectuer la rétro-ingénierie de leurs logiciels malveillants et à cartographier la faon dont ils utilisent concrètement l’IA sur le terrain. Ce que nous avons découvert s’applique à toute organisation européenne qui cherche à comprendre à quoi ressemblent en pratique les adversaires exploitant l’IA.

Regardez notre webinar dédié aux résultats de notre recherche. Webinar sous-titré en français et/ou audio en français.