Sicherheitsforscher von WithSecure haben eine russlandnahe Hackergruppe enttarnt, die künstliche Intelligenz in jeder Phase ihrer Angriffskette nutzt. Seit August 2025 greift die als GREYVIBE bezeichnete Gruppe ukrainische Militär-, Regierungs- und Wirtschaftseinrichtungen an – und zwar mit Hilfe großer Sprachmodelle, die ihre Operationen automatisieren und skalieren.
Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Gratis-Report zu Cyber Security Trends jetzt herunterladen
Generative KI als Waffe
Die Gruppe bedient sich eines ganzen Arsenals an KI-Plattformen: OpenAI’s ChatGPT, Google Gemini und Ideogram AI kommen zum Einsatz. Die Forscher beobachteten, wie GREYVIBE diese Tools für vielfältige schädliche Zwecke nutzt – von der Erstellung täuschend echter Phishing-Köder bis hin zur Entwicklung von Schadcode.
Besonders perfide: Die Angreifer setzen KI zur Bildgenerierung ein, um überzeugende gefälschte Websites zu erschaffen. Auch Infrastruktur-Skripte werden automatisiert geschrieben. So können die Täter schnell mehrere Kampagnentypen parallel ausrollen.
Zu den identifizierten Angriffsketten gehören:
- PhantomMail: Ein Phishing-System zur Verteilung von Schadsoftware
- PhantomClick: Kampagne mit gefälschten CAPTCHA-Abfragen
- PrincessClub und DroneLink: Betrügerische Seiten, die als Erwachsenen-Content beziehungsweise Charity-Plattform getarnt sind
- Nebo: Eine gefälschte Website, die militärische Ressourcen imitiert
Die dazugehörigen Schadprogramme heißen PhantomRelay, LegionRelay und FallSpy. Analysten beschreiben die Gruppe als hybrides Profil – eine Mischung aus staatlich gesteuerter Spionage und klassischer Cyberkriminalität.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulationstaktiken schützen kann. Kostenloses Anti-Phishing-Paket anfordern
Anfängerfehler trotz KI-Power
So ausgeklügelt der KI-Einsatz auch ist: GREYVIBE leistete sich gleich mehrere schwerwiegende Sicherheitspannen. Die Forscher berichten von regelrechten Anfängerfehlern – etwa dem Hochladen von Testversionen der Malware auf öffentliche Dienste wie VirusTotal. Das ermöglichte den Ermittlern, die Entwicklungsschritte nachzuverfolgen.
In einigen Fällen hinterließen die Angreifer zudem unprofessionelle oder identifizierbare Metadaten. Dateinamen wie „letsrollboyos“ wurden in der Infrastruktur der Gruppe entdeckt. Diese Patzer gaben den Sicherheitsfirmen einen klaren Einblick in die internen Abläufe – und vor allem in die genauen Methoden, mit denen die Täter KI-Modelle zur Generierung von Schadcode und Verschleierungsschichten auffordern.
Branche schlägt zurück
Die Enthüllung von GREYVIBE falls in eine Zeit massiv zunehmender KI-gestützter Cyberbedrohungen. Die Sicherheitsbranche reagiert mit neuen Abwehrtechnologien. Erst am 29. Mai 2026 brachte Google Cloud eine autonome Sicherheitsplattform auf den Markt, die genau solche Angriffe abwehren soll. Die Plattform kombiniert die Fähigkeiten von Mandiant und Gemini, um KI-gesteuerte Attacken in Echtzeit zu priorisieren und zu bekämpfen.
Parallel dazu warnen andere Sicherheitsorganisationen vor neuen Bedrohungen, die auf andere technische Vorteile setzen. Microsoft Threat Intelligence schlug kürzlich Alarm wegen der Gentleman-Ransomware – einem Go-basierten Verschlüssler, der erstmals Mitte 2025 auftauchte. Anders als GREYVIBE setzt diese Malware auf laterale Bewegung: Sie verbreitet sich autonom über das SMB-Protokoll in Netzwerken und zielt auf Gesundheitswesen, Finanzsektor und Transportbranche.
Während GREYVIBE weiter operiert, haben das britische National Cyber Security Centre und die EU-Regulierungsbehörden Fristen für den Spätsommer und Herbst 2026 gesetzt. Unternehmen müssen dann Sandboxing und andere Schutzmaßnahmen gegen KI-spezifische Schwachstellen wie Prompt-Injection-Angriffe implementieren.
