La firma de ciberseguridad WithSecure reveló que un grupo de hackers con vínculos rusos está utilizando herramientas de inteligencia artificial como ChatGPT, Google Gemini e Ideogram AI para atacar infraestructuras en Ucrania.
Akura Noyomoto Periodista Científico de El Ciudadano Digital-
Las operaciones vulneran al sector militar, gubernamental y civil mediante la generación automatizada de sitios web falsos y la programación rápida de códigos maliciosos.
WithSecure (anteriormente conocida como F-Secure Business) es una empresa europea líder en ciberseguridad que ofrece soluciones integrales de protección, detección y respuesta para empresas. Su enfoque destaca por combinar tecnología basada en inteligencia artificial con la experiencia de analistas humanos para neutralizar amenazas complejas
GreyVibe
GreyVibe es un grupo de ciberdelincuentes que utiliza modelos generativos para acelerar cada fase de sus operaciones tácticas. Los investigadores detectaron esta actividad en enero de 2026, aunque los registros muestran que la estructura opera al menos desde agosto de 2025, según un reporte publicado el 27 de mayo de 2026.
El rastro de la operación hacia Rusia se confirma mediante paneles de control en ruso, comentarios nativos en el código de programación y servidores configurados con la hora de Moscú (UTC+3).
Campañas de engaño y troyanos impulsados por IA
Los analistas documentaron cinco campañas operativas de este grupo. La más elaborada, PrincessClub, utiliza sitios de citas para adultos y perfiles falsos en Telegram para engañar a militares de Ucrania e instalar spyware en sus celulares, llegando a organizar videollamadas con personas reales para construir confianza antes del ataque.
Las otras amenazas activas en la red incluyen:
- PhantomMail: Correos dirigidos con archivos maliciosos disfrazados de documentos energéticos gubernamentales.
- PhantomClick: Páginas falsas de CAPTCHA que fuerzan la autoinfección de la computadora antes de redirigir a la víctima a reuniones reales de Zoom.
- DroneLink y Nebo: Plataformas que suplantan organizaciones de caridad militar y portales falsificados del ejército ruso.
Para ejecutar la extracción masiva de datos, los atacantes despliegan LegionRelay y PhantomRelay, dos troyanos de acceso remoto basados en PowerShell y desarrollados con asistencia directa de inteligencia artificial. Estas herramientas roban contraseñas del navegador, capturan la pantalla y extraen bases de datos de WhatsApp.
En el entorno móvil, el grupo inyecta el spyware FallSpy en el sistema operativo Android para recolectar los contactos, el historial de llamadas y la ubicación GPS.
Un nivel técnico bajo potenciado por el software
A pesar de operar bajo los intereses del estado, el reporte de WithSecure señaló que GreyVibe “carecía del nivel de sofisticación y disciplina operativa típicamente asociado con actores de estados-nación maduros”. El grupo llegó al punto de instalar mineros de criptomonedas en las máquinas de sus víctimas, un comportamiento atípico para el espionaje militar.
Christine Beherasko, especialista de la firma, indicó que el grupo probablemente fue “contratado por” el gobierno ruso, en lugar de ser una rama militar interna. La evidencia técnica vincula a sus miembros con exintegrantes de TrickBot, un cártel cibernético que atacó la región al inicio de la invasión.
Con campañas activas detectadas hasta abril de 2026, los investigadores advierten que la inteligencia artificial está permitiendo a estos programadores con habilidades limitadas “competir por encima de su peso”, complicando la ciberdefensa global en cada etapa de la infección.
“Redes Neuronales: La Mente Artificial”: Una obra apasionante, de lectura entretenida pero técnica y rigurosa en algunos capítulos, que mantiene al lector expectante a medida que avanza en la lectura.
¿Las IA piensan o algo parecido? Es la pregunta que los investigadores más serios de la Inteligencia Artificial se hacen en voz baja en los laboratorios informáticos, cuando nadie los escucha. Y es la pregunta que investiga “Redes Neuronales: La Mente Artificial”, la nueva obra escrita de Miguel Angel Ducci. Un libro técnico, académico, clásico y muy riguroso.
Los atacantes de ‘GreyVibe’, vinculados a Rusia, utilizan IA para potenciar sus ciberataques.
Los atacantes utilizan la IA para aumentar la velocidad, la escala y la sofisticación de sus ataques. A medida que la IA mejora, también lo hará su uso por parte de los atacantes. GreyVibe es un grupo al que hay que prestar atención.
GreyVibe, un actor de amenazas previamente desconocido, es descrito por WithSecure como un grupo vinculado a Rusia. Los investigadores confían en su atribución de GreyVibe a operadores de habla rusa en la zona horaria de Moscú, pero no están tan seguros de si el grupo es ciberdelincuente, un Estado nación o una combinación de ambos.
Objetivos
El objetivo principal del grupo, que ataca a entidades militares, gubernamentales, civiles y empresariales ucranianas desde agosto de 2025, coincide estrechamente con los intereses del Estado ruso. Al mismo tiempo, los investigadores han detectado numerosos indicios de que al menos algunos miembros de GreyVibe podrían ser agentes estatales de élite con escasas aptitudes sociales, como por ejemplo, el uso de jerga de internet en sus primeros productos de desarrollo, como «letsrollboyos», «totallyunsus» y «cuteuwu».
Otra pista que podría sugerir que GreyVibe no es un actor estatal puro proviene de su uso intensivo de IA en todas las fases de sus operaciones, “desde la creación de sitios web falsos y la elaboración de señuelos hasta el desarrollo de malware personalizado y la generación de herramientas posteriores a la intrusión”, afirman los investigadores. Su informe añade el desarrollo de recursos, incluyendo scripts de ofuscación y carga, y scripts posteriores a la intrusión. Esto, por sí solo, no significa nada, ya que todos los ciberdelincuentes utilizan IA para aumentar la velocidad y la escala de sus ataques.
Sin embargo, si bien los investigadores detectaron el uso de IA de primer nivel, como Ideogram AI, ChatGPT y Google Gemini, GreyVibe introdujo fallos de diseño en su malware LegionRelay para Windows, generado por LLM. Los errores no suelen atribuirse a los ciberdelincuentes de élite. Este error permitió a los investigadores de WithSecure monitorizar y rastrear la actividad de GreyVibe durante un período prolongado desde mediados de 2025.
No se esperan tales errores de atacantes de élite, y quizás por eso Mohammad Kazem Hassan Nejad, investigador sénior de inteligencia de amenazas en WithSecure, añade:
«Lo que distingue a GREYVIBE no es su habilidad técnica pura, sino su ambición operativa impulsada por la IA. El grupo utiliza IA generativa para superar sus limitaciones, acelerando el desarrollo, cubriendo deficiencias en sus capacidades y generando un perfil operativo prácticamente nuevo que dificulta el seguimiento y la atribución. Es un anticipo de cómo operarán cada vez más los actores con menor sofisticación». Mohammad Kazem Hassan Nejad
Las tácticas y estrategias iniciales de GreyVibe son variadas y cuentan con un fuerte apoyo de la IA. Los correos electrónicos de spear-phishing (al menos seis campañas distintas, sin mención alguna de deepfakes) dirigían a las víctimas a archivos ZIP o RAR en servicios de intercambio de archivos de terceros, como Google Drive y 4sync. Estos archivos ejecutaban un archivo señuelo para captar la atención del usuario, al tiempo que iniciaban una cadena de infección de PhantomRelay (malware para Windows) en segundo plano.
Campaña Princess Club
Otra campaña, denominada PrincessClub por los investigadores, utilizaba sitios web falsos de clubes para adultos para distribuir Fallspy (malware para Android) y PhantomRelay o LegionRelay en Windows. Las víctimas eran atraídas aún más por perfiles falsos de mujeres que utilizaban Telegram o sitios de citas para dirigirlas a la trampa.
Este uso extensivo de la IA no solo compensa las deficiencias de GreyVibe, sino que también reduce los vínculos históricos con actividades anteriores. En resumen, no podemos asegurar que el grupo no haya sido rastreado previamente bajo otro nombre por otros investigadores, pero WithSecure no ha encontrado pruebas de ello.
Sin embargo, sí ha detectado el uso de un generador de ISO único, potencialmente vinculado al ecosistema TrickBot y a UAC-0098 (un grupo de actividades que probablemente involucre a antiguos miembros de TrickBot, quienes también fueron observados atacando Ucrania).
GreyVibe sigue activo y sus miembros aún se desconocen. Es probable que su experiencia en IA aumente en el futuro. «Dado este uso extensivo, esperamos que las tácticas del grupo continúen evolucionando y diversificándose, lo que probablemente aumentará la complejidad de la detección, el seguimiento y la atribución continuos», afirma WithSecure.
Queda por ver si esto podría tentar al grupo a extender su actividad más allá de su enfoque actual en Ucrania. Si realmente está estrechamente vinculado a las actividades del Estado ruso, esto es más que posible dado el estado actual de la geopolítica mundial.
- Google y su nuevo plan de Gemini IA a $5.000 al mes
- IBM Ofrece Entrenamiento Gratuito en español de IA
- Cinematic Video Overviews la función de NotebookLM que transforma tus cuadernos en vídeos cinematográficos
- Estados Unidos tendrá acceso a los modelos de IA 30 días antes de ser lanzados
- 20 años y ya hizo la película más aterradora del 2026, ‘Backrooms’
Akura Yonomoto Anthropic Apple Artículo Científico ChatGPT Chile China Ciencia Claude Cloude Comunistas Donald Trump Donal Trump El Ciudadano Digital El Ciudadano Inteligente Elon Musk Estados Unidos Etercuanticum IA Física Gemini Google Guerra IA Inteligencia Artificial Irán José Antonio Kast Kameron Drake Maule Medio Oriente META Miguel Angel Ducci Milenka Swett Mythos Nvidia OpenAI Perplexity Política Rafael Muñoz Canessa Rusia Salud Sam Altman Talca Tecnologia Ucrania USA
Más historias
Google y su nuevo plan de Gemini IA a $5.000 al mes
IBM Ofrece Entrenamiento Gratuito en español de IA
Cinematic Video Overviews la función de NotebookLM que transforma tus cuadernos en vídeos cinematográficos