นักวิจัยเตือน “แฮกเกอร์หน้าใหม่” ใช้ ChatGPT และ Gemini ช่วยโจมตีทางไซเบอร์

บริษัทด้านความปลอดภัยไซเบอร์ WithSecure เปิดเผยการค้นพบกลุ่มแฮกเกอร์ที่ใช้ชื่อว่า “GreyVibe” ซึ่งถูกเชื่อมโยงกับรัสเซีย และกำลังใช้ AI อย่าง ChatGPT, Google Gemini และ Ideogram AI เพื่อช่วยสร้างเครื่องมือและเนื้อหาสำหรับการโจมตีทางไซเบอร์

นักวิจัยระบุว่า แคมเปญดังกล่าวเริ่มเคลื่อนไหวมาตั้งแต่เดือนสิงหาคม 2025 โดยมีเป้าหมายหลักเป็นองค์กรที่เกี่ยวข้องกับยูเครน ทั้งภาคทหาร หน่วยงานรัฐ ภาคธุรกิจ และพลเรือน

แม้รูปแบบการโจมตีจะสอดคล้องกับผลประโยชน์ของรัสเซีย แต่ผู้เชี่ยวชาญยังไม่สามารถยืนยันได้เต็มรูปแบบว่า GreyVibe เป็นกลุ่มปฏิบัติการของรัฐโดยตรง

WithSecure ระบุว่า จุดเชื่อมโยงกับรัสเซียปรากฏชัดจากหลายส่วน ทั้งภาษาที่ใช้ในระบบควบคุมมัลแวร์ คอมเมนต์ในโค้ด รวมถึงเซิร์ฟเวอร์ควบคุมที่ตั้งค่าเวลาเป็น UTC+3 ซึ่งตรงกับเวลามอสโก

กลุ่ม GreyVibe ใช้วิธีโจมตีหลายรูปแบบ โดยแต่ละแคมเปญถูกออกแบบให้ดูสมจริงและเจาะจงเป้าหมายอย่างมาก

หนึ่งในนั้นคือ “PhantomMail” ที่ใช้การส่งอีเมล Spear Phishing พร้อมไฟล์ ZIP หรือ RAR อันตรายผ่าน Google Drive และ 4sync โดยปลอมตัวเป็นเอกสารจากหน่วยงานรัฐบาลยูเครน หน่วยฉุกเฉิน บริษัทโทรคมนาคม และหน่วยงานพลังงาน

อีกเทคนิคคือ “PhantomClick” ที่สร้างหน้า CAPTCHA ปลอมและหน้า ClickFix ปลอมเลียนแบบ Zoom หรือเว็บไซต์ LAPAS เพื่อหลอกให้เหยื่อรันคำสั่งติดมัลแวร์ผ่านระบบยืนยันตัวตนปลอมของ Cloudflare

ส่วนแคมเปญ “PrincessClub” ใช้เว็บไซต์หาคู่และเว็บไซต์ผู้ใหญ่ปลอมในยูเครน เพื่อแพร่กระจายมัลแวร์ Android ชื่อ FallSpy และมัลแวร์ Windows อย่าง PhantomRelay และ LegionRelay

ผู้โจมตียังใช้บัญชี Telegram ปลอมเป็นหญิงสาว และภายหลังเพิ่มระบบ Video Call แบบ WebRTC ที่สามารถดักจับทั้งเสียงและวิดีโอของเหยื่อได้อีกด้วย

นอกจากนี้ยังมี “DroneLink” เว็บไซต์ปลอมเกี่ยวกับการบริจาคโดรน FPV และ UAV ให้กองทัพยูเครน รวมถึง “Nebo” หน้า Login ปลอมของระบบสื่อสารทางทหารรัสเซีย ที่คาดว่าถูกสร้างขึ้นเพื่อหลอกเจ้าหน้าที่ทหารยูเครน

นักวิจัยมองว่า ความหลากหลายและความสมจริงของแคมเปญเหล่านี้ เป็นผลจากการใช้ AI เข้ามาช่วยสร้างเนื้อหา ภาพ และองค์ประกอบต่างๆ ให้ดูน่าเชื่อถือมากขึ้น

AI ยังถูกนำมาใช้ช่วยพัฒนาเครื่องมือโจมตีด้วย โดย WithSecure เชื่อว่าเครื่องมือ Obfuscator หลายตัว รวมถึงมัลแวร์อย่าง LegionRelay ถูกสร้างขึ้นด้วยความช่วยเหลือจากโมเดลภาษาแบบ LLM

LegionRelay เป็นมัลแวร์ประเภท Remote Access Trojan (RAT) ที่สามารถขโมยไฟล์ จับภาพหน้าจอ ขโมยข้อมูล Browser ดึงข้อมูลจาก Telegram และ WhatsApp รวมถึงเปิดช่อง Remote Desktop เข้าเครื่องเหยื่อได้

ขณะที่ PhantomRelay ซึ่งเป็น RAT อีกตัว สามารถตรวจสอบข้อมูลระบบ โหลดสคริปต์เพิ่มเติม และรันคำสั่ง PowerShell หรือคำสั่งของ Windows ได้จากระยะไกล

ส่วน FallSpy บน Android ถูกออกแบบมาสำหรับงานสอดแนมโดยเฉพาะ สามารถดึงข้อมูลรายชื่อผู้ติดต่อ ประวัติการโทร ตำแหน่งที่ตั้ง ไฟล์สื่อ และข้อมูลซิมการ์ดจากเครื่องเหยื่อ

แม้รูปแบบการทำงานของ GreyVibe จะคล้ายปฏิบัติการระดับรัฐ แต่ WithSecure มองว่า กลุ่มนี้ยังขาดความซับซ้อนและวินัยด้านปฏิบัติการแบบที่มักพบในกลุ่ม Nation-State ชั้นสูง

นักวิจัยยังพบว่า มัลแวร์บางส่วนเคยถูกใช้ในอาชญากรรมไซเบอร์ทั่วไปมาก่อน ทำให้เชื่อว่า GreyVibe อาจประกอบด้วยอดีตหรือปัจจุบันสมาชิกกลุ่มอาชญากรไซเบอร์ที่เข้ามาร่วมปฏิบัติการ

หลักฐานบางอย่างยังชี้ว่า กลุ่มนี้อาจมีความเชื่อมโยงกับอดีตสมาชิกของแก๊ง TrickBot ซึ่งเคยโจมตียูเครนในช่วงเริ่มต้นสงครามรัสเซีย-ยูเครน

นอกจากนี้ ผู้โจมตียังเคยอัปโหลดตัวอย่างมัลแวร์และไฟล์ทดสอบขึ้นแพลตฟอร์มสแกนสาธารณะ รวมถึงมีการติดตั้งโปรแกรมขุดคริปโตในเครื่องเหยื่อบางราย ซึ่งถือเป็นพฤติกรรมที่ไม่ค่อยพบในกลุ่ม Nation-State ระดับมืออาชีพ

WithSecure ระบุว่า ยังไม่สามารถสรุปได้ชัดเจนว่า GreyVibe เป็นกลุ่มอาชญากรไซเบอร์ที่ได้รับคำสั่งจากรัฐ กลุ่มลูกผสมระหว่างรัฐกับอาชญากร หรืออดีตอาชญากรไซเบอร์ที่ถูกดึงเข้ามาทำงานร่วมกับหน่วยงานรัฐ

ที่มา