Gli hacker russi hanno trovato un nuovo alleato per le loro operazioni di spionaggio digitale, e si tratta di strumenti che usiamo tutti i giorni: ChatGPT di OpenAI e Gemini di Google. A scoprirlo è stato un team di ricercatori che ha messo sotto la lente cinque campagne distinte, tutte riconducibili a un gruppo chiamato GreyVibe. Gli obiettivi? Principalmente l’Ucraina, con un mirino puntato su militari, civili e aziende. E gli attacchi vanno avanti dall’agosto 2025.
Cinque campagne diverse, un unico filo conduttore
Il bello (o il brutto, dipende dai punti di vista) di questa storia è la varietà degli arsenali messi in campo. Gli esperti hanno individuato cinque operazioni separate che però condividono infrastrutture e codici malevoli: si chiamano PhantomMail, PhantomClick, PrincessClub, DroneLink e Nebo. Nomi quasi accattivanti, peccato per ciò che nascondono.
Partiamo da PhantomMail. Qui si gioca sul classico spear phishing: email costruite ad arte con link che rimandano ad archivi ZIP o RAR ospitati su Google Drive e altre piattaforme. L’utente, ignaro, apre i file PDF contenuti nell’archivio e a quel punto scatta la trappola. Viene eseguito PhantomRelay, un RAT, ovvero un trojan che apre le porte all’accesso remoto del dispositivo.
Poi c’è PhantomClick, che ricalca lo schema ormai noto del ClickFix. Funziona così: per dimostrare di non essere un robot, alla vittima viene chiesto di risolvere un CAPTCHA eseguendo determinati comandi. Solo che, mentre crede di superare un semplice controllo, sta in realtà scaricando lo stesso PhantomRelay visto prima. Un inganno tanto semplice quanto efficace.
Siti civetta e spyware nascosti
Le altre tre campagne si muovono su un terreno ancora più subdolo. PrincessClub si presenta come un sito per adulti, con tanto di promessa di poter contattare una persona tramite app sia per Android sia per Windows. Dietro le quinte, però, vengono installati PhantomRelay o LegionRelay sui sistemi Windows, mentre su Android entra in azione FallSpy, uno spyware bello e buono.
DroneLink, invece, finge di essere un portale dedicato ai droni e serve a diffondere LegionRelay. E infine Nebo, forse il più ardito di tutti: una finta pagina di login pensata per imitare l’accesso a un terminale militare russo. Anche qui il finale è lo stesso, con FallSpy pronto a insediarsi nel dispositivo.
Il punto centrale di tutta la vicenda è uno: per ciascuna di queste campagne i criminali hanno fatto ricorso a ChatGPT e Gemini. I chatbot sono stati usati per scrivere il codice dei vari malware e per generare immagini, sfruttando insomma le capacità dell’intelligenza artificiale per accelerare il lavoro sporco.